• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

한국 노린 사이버 정찰 캠페인, 오션설트 발견돼 2018.10.18

총 다섯 번의 공격 감행돼...대부분 한국어로 된 악성 문서 포함
중국의 APT1과 유사성 짙으나...어쩌면 정부 해커들도 서로 교류?

[보안뉴스 문가용 기자] 한국과 미국, 캐나다를 노린 사이버 정찰 캠페인이 발견됐다. 이 캠페인에 사용된 멀웨어는 이전에 중국 정부가 지원해주었던 APT 공격 단체인 APT1이 사용한 것과 관계가 있는 것으로 보인다.

[이미지 = iclickart]


APT1은 2013년 맨디언트(Mandiant)가 보고서를 통해 처음 밝혀낸 단체로 코멘트 크류(Comment Crew)라는 이름으로도 알려져 있다. 또한 중국의 인민해방군에 소속된 부대라고 여겨진다. 당시로서는 훔쳐낸 정보의 절대량 면에서 단연 압도적인 성과를 내던, 따라서 가장 꺼려지는 공격자 중 하나였다. 그러나 APT1은 그 보고서 이후 활동을 멈췄다.

이번에 발견된 캠페인이 APT1의 부활로 보이지는 않는다고, 이 캠페인에 대해 보고서를 작성하고 발표한 보안 업체 맥아피(McAfee)는 설명한다. “이번 캠페인에 사용된 멀웨어 임플란트는 오션설트(Oceansalt)라고 하며, 예전에 APT1이 사용했던 악성 코드와 유사한 측면이 있습니다. 당시 그 악성 코드의 이름은 시설트(Seasalt)였습니다. 그 유사성이 어느 정도냐면, 이번 공격자가 APT1의 소스코드에 접근할 수 있다고 의심될 정도입니다. APT1의 멀웨어 소스코드는 한 번도 공개된 적이 없습니다.”

맥아피는 “오션설트와 시설트 멀웨어는 둘 다 같은 문자열(Upfileer / Upfileok)을 포함하고 있을뿐만 아니라 명령 처리자와 색인표에서도 상당히 유사하다”고 설명하며, “기능을 실행하는 방법 면에서도 거의 같다”고 말한다. 또한 명령을 성공적으로 실행하거나 실패했을 때 둘 다 정확하게 똑같은 대응 코드를 사용하고 있다는 점도 짚어냈다.

“드라이브와 파일에 대한 정보 수집을 할 때도 같은 코드가 사용됩니다. cmd.exe에 기반을 둔 리버스 셸(reverse shell)을 생성할 때도 역시 같은 점이 발견됩니다. 다만 시설트와 달리 오션설트에는 암호화 및 복호화 메커니즘이 존재합니다. 제어 서버 주소도 하드코드 되어 있고요. 또한 시스템에 오래 남아있기 위한 기능도 가지고 있지 않습니다.”

하지만 이번 공격자와 5년 전부터 활동을 멈춘 예전 공격자와의 관계에 대해서는 맥아피도 명확하게 언급하지는 못하고 있다. 또한 공격자의 정체에 대해서도 뚜렷하게 뭔가를 제시하지도 못했다. “공격자들 간 흔히 있는 코드 공유의 결과일 수도 있고, 누군가 APT1에 눈을 돌리게끔 일부러 코드를 비슷하게 짠 것일 수도 있습니다.”

맥아피의 보안 전문가들에 의하면 오션설트 캠페인은 현재까지 총 다섯 번의 공격으로 구성됐다고 한다. 처음 두 번은 한글로 된 악성 엑셀 문건을 사용한 스피어피싱 공격이었다. 이 문건을 열면 오션설트 임플란트가 설치됐다. 세 번째 공격은 먼저 있었던 두 번의 공격과 동일한데, 엑셀 대신 워드 파일이 사용됐다. 나머지 네 번째와 다섯 번째 공격은 한국 바깥에 있는 소규모 조직들을 노리고 진행됐는데, 대부분 미국과 캐나다에 있었다.

공격이 진행되는 동안 공격자들은 다수의 C&C 서버들을 활용했다. 추적해보니 캐나다, 코스타리카, 미국, 필리핀 등의 국가들이 나왔다. 즉 이 나라들을 겨냥한 공격 캠페인도 동반하고 있다는 뜻이 된다.

오션설트는 침투한 기기로부터 데이터를 모으기 위한 여러 기능들을 탑재하고 있다. 하지만 이는 첫 번째 단계에서의 공격일 뿐이다. 두 번째 단계의 페이로드는 C&C로부터 오는 명령들을 통해 다운로드 된다. 이 말은 곧, C&C 서버와의 통신에 따라 오션설트 공격자들이 꽤나 다양한 행동들을 할 수 있게 된다는 뜻이 될 수 있다.

오셜설트가 지원하는 명령어는 10개가 넘는다.
1) 드라이브 정보 추출
2) 특정 파일에 대한 정보 전송
3) WinExec()를 사용해 명령행 실행
4) 파일 삭제
5) 파일 생성
6) 현재 돌아가는 프로세스 정보 취득
7) 프로세스 종료
8) 리버스 셸의 생성/운영/종료
9) 전송과 수신 실험

“이번 오션설트 캠페인의 가장 주된 타깃은 대한민국인 것으로 보입니다. 어쩌면 국가 지원을 받는 해커들 간에도 모종의 협력이 이뤄지는 것을 발견한 것일지도 모르겠습니다.”

한편 최근 외교 상황 상 한국의 실정을 정탐할 만한 국가는 북한, 중국, 미국 등이 대표적인 것으로 꼽힌다. 북한은 예나 지금이나 꾸준히 한국을 공격하는 경계 대상 1호이며, 중국 역시 북한을 돕거나 미국을 견제하거나 한국 기술을 훔치기 위해 한국을 정찰해왔고, 미국도 최근 한국 정부가 세계적인 북한 제제를 어기면서까지 북한 사절단 노릇을 하고 있어 여러 채널을 통해 경고를 가하고 있는 상태다.

3줄 요약
1. 한국, 미국, 캐나다 노린 사이버 캠페인 오션설트 발견됨.
2. 2013년부터 활동 멈춘 중국 정부의 APT1과 유사한 점 많이 발견됨.
3. 주요 표적은 한국이 분명. 하지만 주요 공격자는 아직 불분명.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>