2022-01-19 10:50 (수)
“북한 해킹조직, 한국 공격대상 분류해가며 최신 취약점 적극 활용해 지속 공격”
상태바
“북한 해킹조직, 한국 공격대상 분류해가며 최신 취약점 적극 활용해 지속 공격”
  • 길민권 기자
  • 승인 2021.12.02 15:45
이 기사를 공유합니다

문종현 이사 “언어학적 분석, 인텔리전스 분석에서 매우 중요한 요소…민·관 협력과 투자 이루어져야”
문종현 이스트시큐리티 이사. FICCA2021에서 북한 사이버공격 특성에 대해 설명하고 있다.
문종현 이스트시큐리티 이사. FICCA2021에서 북한 사이버공격 특성에 대해 설명하고 있다.

“보이지 않는 적과 총성없는 전쟁중이다. 북한의 대남 사이버테러 공격은 나날이 지능화·고도화 되고 있다. 사이버 안보 기반 인텔리전스를 활용해 최신 정보 공유가 이루어져야 한다. 그래야 이들의 공격을 예측하고 대응할 수 있다.” –문종현 이스트시큐리티 이사-

북한의 사이버테러는 △2009년 7.7 DDoS 공격, △2011년 3.4 DDoS 공격과 4.12 농협공격, △2012년 6.9 중앙일보 공격, △2013년 3.20 금융·언론사 공격, 6.25 청와대 공격 △2014년 12.09 한수원 공격, 11.24 소니픽처스 공격 △2016년 2.05 방글라데시 은행 공격, 5.03 인터파크 공격, 8.04 국방 내부망 공격 △2017년 3.02 ATM 공격, 5.12 워너크라이 공격 등 과거에서부터 현재까지 지속적으로 이루어지고 있다.

문종현 이사는 “20년간 북한은 정권차원에서 노골적인 사이버 도발을 해 오고 있으며 북한의 사이버공격 전초기지이자 주무대는 한국이다. 외교, 안보, 국방, 통일 분야 고위 공직자와 탈북자, 언론인 등을 주요 표적으로 삼고 있다. 지금도 일상적으로 공격을 해 오고 있으며 다양한 방법으로 진화를 거듭하며 공격은 계속되고 있다는 것을 직시해야 한다”고 강조했다.

북한의 사이버 공작 활동시 주요 공격 방법은 △스피어피싱 공격 △워터링홀 공격 △공급망 공격 △사회관계망 공격 △아웃소싱 공격 등으로 요약할 수 있다.

문 이사는 “북한의 대남 사이버공격은 주로 스피어피싱 공격 기반이다. 이메일에 맞춤형 악성코드를 심어 외교, 안보, 통일, 국방 분야 관계자를 대상으로 타깃 기관의 내부침투가 성공할때까지 지속적으로 공격한다. 무기 개발, 방위산업체 등도 주요 타깃이다”라고 설명했다.

그의 설명에 따르면, 2019년 5월 북한 탈륨 조직은 통일부를 사칭해 언론기자를 대상으로 공격을 진행했다. HWP 문서파일을 공격에 활용했고 미국 애니메이션 제목을 활용하고 북한어 스타일의 디버깅 메시지도 발견됐다.

특정 대학 등을 해킹해 거점을 확보하고 거기서 악성코드를 개발했다. 악성코드를 분석해 보면, 영문 키워드를 한국어로 하면 한글 내용으로 변환되는 등 북한 악성코드 개발자의 습관이 코드에 드러난 다는 것도 알 수 있었다.

2020년 이후부터는 MS워드 취약점을 활용하기 시작했다. 악성코드 개발자들은 실수도 한다. 제작자 PC를 추적해 보면 북한에서 사용하는 천리마체 글꼴이 포함되어 있는 것을 확인할 수 있다. 문종현 이사는 이런 단서들을 바탕으로 공격자 배후를 추적한다. 그는 언어적 분석의 중요성을 지속적으로 강조해 오고 있으며 이는 해외 분석가들이 놓칠 수 있는 부분이다.

그는 “북한 악성코드 개발자들도 실수를 한다. 특히 언어적 분석을 통해 그들의 습관을 파악할 수 있다. 이들의 악성코드 흐름은 유사하지만 문자열만 조금씩 수정해 가며 유사 변종을 만들어 공격에 변화를 주고 있다”며 “전체적인 위협의 흐름을 파악하고 침해지표데이터를 오랜기간 축적해 공격자의 변화를 추적해야 가능한 부분”이라고 전했다.

문 이사는 공격 사례를 소개하며, 지난 5월 4일 진행된 공격을 분석한 내용을 공유했다.

자문요청서로 위장한 공격이었다. 메크로 실행을 유도했고 메일 내용에는 ‘창조’ ‘프로그람’ 등 한국에서는 사용하지 않는 북한식 용어들이 포함돼 있다는 것을 알 수 있었다. 북한 라자루스 계열에서 주로 발견되는 표현들이다. 악성문서에 포함된 내용을 언어적으로 분석해 공격자 계열을 분류해 내는것도 놓쳐서는 안될 분석 요소다.

문 이사는 “다양한 유형의 공격들을 조사하다보면, 공격자들은 공격대상별로 관리를 잘하고 있다는 것을 확인했다. 또 최근 공격자들은 설문에 응하면 사례비를 준다는 식의 메일로 혹은 웨비나 사례비를 준다는 등 타깃이 악성파일을 열어보도록 유도하고 있다. 특히 최근 재택근무가 활성화되면서 보호 장치들이 허술한 틈을 타 외교, 통일, 안보, 국방 분야 전직 고위공직자를 타깃으로 공격을 지속하고 있다. 각별한 주의가 필요하다”고 강조했다.

한편 최근에는 HWP, MS워드를 넘어 PDF 취약점까지 공격에 활용하고 있다.

문종현 이사는 “북한 악성코드 개발자들은 자신들의 관심사를 코드에 넣어 제작하는 경우가 많다. 따라서 언어학적 분석이 인텔리전스 분석에서 매우 중요한 요소로 자리 잡고 있다. 해외 분석가들은 한글에 대해 잘 모르기 때문에 한국 분석가들과 긴밀히 협력할 필요가 있다”며 “한국과 북한어의 미묘한 차이를 모르면 분석할 수 없는 부분이다”라며 “최근에는 DOC 문서파일 취약점을 활용하고 있으며 최신 취약점을 공격에 적극 활용하고 있다. 민·관이 긴밀히 협력해 북한의 조직적인 사이버테러 공격에 대응할 수 있도록 관심과 투자가 더욱 필요하다”고 밝혔다.

이번 문종현 이사의 강연은 FICCA2021에서 진행됐다. FICCA2021(Finance & Industry Cybersecurity Congress Asia) 아시아 금융&산업 사이버보안 컨퍼런스 2021은 지난 11월 26일 300여 명이 등록한 가운데 온라인 개최됐다.

★정보보안 대표 미디어 데일리시큐!★