SECURITY NEWS
| [보안뉴스] 해킹 강국 북한의 APT 그룹, 2023년 상반기 위협 동향은? | ||
|---|---|---|
|
||
|
‘국제 정보보호 컨퍼런스 2023’에서 북한 APT 그룹의 사이버 위협 동향 공유 일주일에 한 번씩 이어지는 북한발 사이버 공격, 유연한 대처와 가시성 확보 중요[보안뉴스 박은주 기자] 지난 5월 미국의 IT기업 해커어스가 개최한 코딩 대회에서 북한 학생들이 1~4위를 싹쓸이한 것으로 드러났다. 국제대회 수상으로 북한의 IT 인력 자원의 우수성이 다시 한번 확인된 셈이다. 또한, 북한 최고지도자 김정은이 “해커들은 출신 성분을 따지지 말고 뽑으라”는 지시를 내린 것으로도 알려졌다. 이처럼 북한이 IT인력 및 해커 양성에 공을 들일수록 한국을 비롯한 세계 여러 국가는 불안감이 더 커질 수밖에 없다.  [이미지 = gettyimagesbank] 해킹은 북한의 독재 정권을 유지하는 버팀목이다. 북한의 해킹그룹은 정보 탈취 등 사이버 첩보활동을 비롯해 자금 확보를 위한 다양한 사이버 공격을 이어가고 있다. 북한의 대표적인 APT (Advanced Persistent Threat, 지능형 지속 공격) 그룹으로 △라자루스(Lazarus) △킴수키(Kimsuky) △스카크러프트(Scarcruft) △블루노로프(BlueNoroff) △안다리엘(Andariel) 등이 있다. 이들은 정부기관, 방산 업체, 금융기관 등 주요 인프라, 기업을 대상으로 일주일에 한 번꼴로 공격을 감행하고 있다. 2023년 상반기에 발생한 북한 APT 그룹의 위협 동향과 실제 공격 방식에 대해 공유하는 자리가 ‘국제 정보보호 컨퍼런스 2023’에서 마련됐다. 먼저 S2W의 이세빈 테크리더가 2023년 상반기에 발생한 북한 APT 그룹의 위협 관련 이슈에 대해 소개했다.  ▲S2W의 이세빈 테크리더[사진=보안뉴스] 2023년 1월에 가상자산 플랫폼 하모니 호라이즌 브리지(Harmony Horizon bridge)를 해킹해 약 1억 달러(약 1,300억원) 상당의 가상자산을 훔친 범인이 북한의 APT 그룹 ‘라자루스’로 밝혀졌다. 이에 한국 국가정보원과 미국이 합동작전을 펼쳐 약 100만 달러(약 12억 7,300만원) 가량의 암호화폐를 회수했다. 지난 3월경에는 2022년 말에 발생한 Zimbra 메일 서버를 통한 침해사고 내용이 밝혀졌다. 연구, 에너지, 의료 분야를 대상으로 한 이번 공격은 북한의 안다리엘 그룹의 소행으로 드러났다. 이때 공격에 사용된 도구 중 일부가 또 다른 북한의 APT 그룹인 김수키 조직의 것으로 밝혀지기도 했다. 또한, 안다리엘 그룹이 의료 및 보건 분야를 표적으로 삼은 랜섬웨어 공격에 대한 한·미 랜섬웨어 합동 사이버 보안 권고가 공개됐다. 또한, 국내 금융보안 인증 소프트웨어의 취약점을 악용해 대규모 공급망 공격을 시도한 정황이 드러났다. 이후 경찰청은 공식 발표를 통해 북한의 APT 그룹 라자루스의 소행이라고 밝혔다. S2W의 이세빈 테크리더는 “이 밖에도 북한 APT 그룹의 공격이 꾸준히 이어지고 있는 가운데 그룹 간 공격 도구가 중복되는 상황”이라며 “APT 그룹의 구분이 희미해지고 있다”고 설명했다. 그는 “보안은 강철의 쇠사슬이 아니라 유기체의 호흡과 같다”며 “유기적이고 동적인 과정을 이해하고 보안 위협에 유연하게 대처할 필요가 있다”고 강조했다.  ▲지니언스 문종현 이사[사진=보안뉴스] 또한, 지니언스의 문종현 이사는 “북한 APT 공격 말단에는 피싱메일을 통한 공격이 성행하고 있다”며 외교·안보·국방·통일 관련 종사자를 타깃으로 한 공격을 사례로 ‘APT 공격 방식에 대한 분석결과’를 발표했다. 문 이사가 분석한 사례 중 하나로 소개한 것은 ‘북한 인권 및 교육 분야 특정 단체장’을 사칭해 대북 분야 사업 대표에게 업무 도움 요청을 가장한 악성메일이었다. 해당 메일에 첨부된 ‘이력서 모음.zip’에는 악성파일이 담긴 링크 파일과 정상 한글문서 파일이 함께 담겨 있어 피해자를 현혹시켰다. 이에 문종현 이사는 “일반 사용자가 보기엔 별 문제 없어 보이겠지만, 한글파일을 위장한 악성 링크 파일의 경우 아이콘 하단에 화살표가 표시되는 등 일반적인 형태는 아니”라며 “아이콘의 모양이나 비정상적인 파일의 크기 등 사소한 차이를 보고 의심하는 시선이 필요하다”고 말했다. 이 밖에도 북한 공격그룹은 실제로 진행되는 세미나나 토론회를 사칭해 실제와 구분이 어려운 공격을 이어가고 있다. 또한, jpg(그림파일)에 악성 실행파일을 내장한 스테가노그래피(Streganography) 기법을 사용하기도 한다. 이처럼 다양한 종류의 문서파일이나 그림파일을 통한 공격이 이어질 때 악성파일뿐만 아니라 정상 파일을 분석하는 일도 중요하다는 의견이 제시됐다. 문종현 이사는 “공격자는 정상파일을 분석하며 악성파일을 만들게 되는데, 이때 흔적을 남기곤 한다”고 말했다. 최근 북한의 APT 그룹은 다양한 문서파일뿐만 아니라 애플사의 맥OS를 타깃으로 한 공격도 감행하고 있다. 윈도우 기반 공격에서 범위를 넓혀 다양한 공격루트 개발에 힘쓰고 있다는 것을 알 수 있다. APT 그룹은 스피어피싱 공격에 Hotmail, Zmail, Gmail 등 무료 메일 서비스를 이용한다. 또한, 초기 침투 공격에 성공한 기기와 통신을 유지하기 위해 역시 보편적으로 사용하는 얀덱스, 드롭박스, 원드라이브 등 클라우드 서비스를 이용한다. 누구나 사용하는 상용 서비스를 통해 공격을 시도하면 탐지가 어려워지기 때문이다. 이에 문 이사는 “더욱 적극적인 보안 대책이 필요하다”며, “공격을 바로 확인할 수 있는 가시성 확보가 중요하다”고 강조했다. [박은주 기자(boan5@boannews.com)]
[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=120203&page=1&mkind=1&kind=1)] |
||
| 이전글 | [보안뉴스] 복잡한 클라우드 환경 유지에 혼란... 잘못된 보안 시스템 구축할 가능성 높아 | |
| 다음글 | [보안뉴스] 빠르게 증가하고 있는 리눅스 랜섬웨어, 사회 전체의 문제로 인지해야 | |
