• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

싱가포르 최악의 정보 유출 사건, 화이트플라이가 유력한 용의자 2019.03.07

2017년부터 싱가포르만 노려온 해킹 그룹 화이트플라이...해킹 수준 높아
작년 발생한 싱헬스 유출 사고...싱가포르 역사상 최악의 사이버 사건으로 기록돼

[보안뉴스 문가용 기자] 최소 2017년부터 싱가포르의 조직들을 노리고 공격해온 해킹 단체가, 작년 싱헬스(SingHealth)에서 발생한 대규모 데이터 유출 사건의 배후 세력일 가능성이 높은 것으로 밝혀졌다. 이에 대해 보안 업체 시만텍(Symantec)이 보고서를 발표했다.

[이미지 = iclickart]


2018년 7월, 싱가포르 당국은 “고급 기술을 갖춘 위협 단체가 싱가포르에서 가장 큰 의료 조직인 싱헬스의 데이터베이스에 불법 접근했다”며, “150만 건의 의료 관련 기록들이 도난당했다”고 발표했다. 이 사건은 싱가포르 역사상 가장 큰 데이터 유출 사고로 기록되기도 했다. 전문가들은 “국가 사이버전 전문 단체의 소행일 가능성이 크다”고 했지만, 별다른 정보가 추가되지는 않았다.

그런 가운데 시만텍이 화이트플라이(Whitefly)라는 해킹 그룹을 지목하고 나선 것이다. 화이트플라이는 싱가포르의 의료, 미디어, 통신, 엔지니어링 관련 조직들을 전문적으로 노려온 그룹으로 최소 2017년 중반부터 활동을 시작한 것으로 알려져 있다. 그 외에도 싱가포르에 근거지를 마련한 각종 다국적 기업들도 공격했다. 그러나 시만텍은 화이트플라이와 관련된 국가 이름은 하나도 언급하지 않았다.

시만텍에 의하면 화이트플라이는 “고유 멀웨어와 오픈소스 해킹 툴, 정상 애플리케이션을 고 루 사용해 원하는 바를 이뤄내는 사이버 정찰 전문 그룹”이다. “화이트플라이 공격은 주로 .exe나 .dll 파일로부터 시작합니다. 이 파일들은 주로 스피어 피싱 이메일을 통해 표적이 된 조직으로 전파되고요. 감염시킨 시스템 내에서 드로퍼로 작동하며, Trojan.Vcrodat이라는 로더를 실행시킵니다.”

DLL 파일 형태로 감염을 시작할 경우, Trojan.Vcrodat은 DLL 하이재킹이라는 기법을 통해 실행된다. “해커들은 윈도우가 애플리케이션의 DLL을 검색할 때 미리 정의된 순서에 따라 특정 위치를 살핀다는 걸 악용합니다. 이 위치들에 악성 DLL을 심고, 정상 라이브러리와 같은 이름을 붙임으로써 멀웨어가 반드시 실행될 수 있도록 만듭니다.”

이런 저런 방법을 통해 Trojan.Vcrodat이 실행된다면, 제일 먼저 C&C 서버와 통신을 시도한다. 각 공격 대상마다 여러 개의 도메인이 할당된다. 통신에 성공하면 장비 정보를 전송한다. 그 다음으로는 공격자 혹은 C&C 운영자들이 추가로 보내는 공격 툴들을 다운로드 받아 피해 시스템과 네트워크로 퍼트린다.

시만텍은 “화이트플라이는 공격 대상이 된 조직의 시스템이나 네트워크에 최대한 오래 머무르는 걸 목표로 한다”고 설명한다. “한 번에 많은 정보를 빼가기보다, 수개월에 걸쳐 조금씩 빼갑니다. 따라서 공격자들과 공격 대상이 된 컴퓨터들 사이의 소통을 원활하게 만드는 게 중요한데, 이를 위해 여러 가지 툴들을 사용합니다. 터마이트(Termite)라는 오픈소스 해킹 툴이 자주 눈에 띕니다.” 터마이트를 통해 화이트플라이는 동시에 여러 시스템을 제어하는 등 보다 복잡한 행위를 실시할 수 있게 됩니다.

화이트플라이가 자주 사용하는 또 다른 멀웨어로 니바타드(Nibatad)가 있다고 시만텍은 밝혔다. “니바타드를 통해 해커들은 피해자들의 컴퓨터들로부터 정보를 훔쳐낼 수 있게 됩니다.”

시만텍은 화이트플라이가 과거 공격에 사용했던 도구들 중 일부가 싱가포르 외부에 있는 조직들을 공격하는 데에 발견되기도 했다는 점을 짚었다. “예를 들어 화이트플라이가 사용했던 다목적 명령 툴이 동남아 국가들 및 러시아의 국방, 에너지, 통신 산업에서 발견된 사례도 있습니다. 이 명령 툴은 화이트플라이가 직접 만든 것으로, 다른 조직의 공격에서는 발견된 바가 없습니다.”

한편 Trojan.Vcrodat은 영국의 숙박 산업 조직들 일부를 겨냥한 공격에서도 발견되기도 했다. 시만텍 역시 이러한 사례들이 있음을 보고서를 통해 설명하며 “화이트플라이가 싱가포르 외의 조직들을 직접 공격했을 수도 있지만, 다른 해킹 그룹이 화이트플라이와의 커넥션을 통해 툴들을 입수한 뒤 공격했을 가능성이 더 높습니다.”

3줄 요약
1. 작년 싱헬스에서 발생한 데이터 유출 사고, 배후에 화이트플라이 있을 것으로 보임.
2. 화이트플라이는 싱가포르의 조직들을 전문적으로 공격하는 단체임.
3. 화이트플라이의 주력 툴들은 싱가포르 외 다른 조직을 겨냥한 공격에서 발견되기도 함. 다른 범죄 조직들과의 연계성도 의심됨.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>