1천여 명의 각분야 보안실무자가 참석한 하반기 최대 정보보호 컨퍼런스 PASCPN 2023에서 한국인터넷진흥원(KISA) 종합분석팀 김동욱 선임연구원은 2023년에 발생한 북한 해킹그룹으로 알려진 라자루스(Lazarus) 그룹의 한국을 대상으로 한 해킹 공격에 대한 상세 분석 내용을 공유했다
김동욱 선임은 “라자루스 그룹이라고 알려진 북한 해킹그룹은 2023년 한국을 대상으로 한 다수의 공격 사례가 있다. 그들은 주로 워터링홀 공격, 취약점 공격, 그리고 사회 공학 기술을 활용해 다양한 타깃에 침투하고 악성 코드를 배포하고 있다. 특히 금융 기관과 언론사, 가상화폐 거래소와 같은 공격 대상이 주요 타깃이 되고 있으며, 목표를 감염시키기 위한 특정한 기술과 전략을 사용하고 있다”고 주의를 당부했다.
그는 공격 사례를 들며, 최근 한 가상화폐 거래소 공격에서는 워터링홀 공격을 통해 공격자는 사용자들을 미리 감염시키기 위해 피싱 메일을 사용했다. 또한 라자루스 그룹은 공격 대상의 IP 주소를 MD5로 해싱해 목표를 감염시키기 위한 IP 필터링 코드를 사용하는 등 고도로 조직화된 공격을 수행하고 있다고 전했다.
라자루스 그룹의 최근 공격 방법에 대해 좀더 살펴보면 다음과 같다.
◆공격의 최초 진입점으로 워터링홀 공격 사용…탐지 회피 및 지속성 위해 다양한 방법 활용
라자루스 그룹은 공격의 최초 진입점으로 워터링홀 공격을 자주 사용한다. 이 공격 기술은 흔히 피해자가 방문하는 정상적인 웹사이트에 취약점을 숨겨놓고, 피해자의 접속 시도를 기다렸다가 취약점을 악용해 악성코드를 실행하는 방식이다. 이번 공격 사례에서는 가짜 인증서버를 구축해 사용자를 유도하고 인터넷 익스플로러와 같은 취약한 웹 브라우저를 이용하는 것이다.
예를 들면, 뉴스 웹 사이트와 같은 공격 대상이 접속하는 언론 기사 사이트에 제로데이 취약점을 심어 놓고, 이를 통해 감염을 시작하는 방식이다.
공격자는 또 웹 통신 기반의 명령 제어 및 제어 서버 인프라를 사용해 감염된 시스템을 제어한다. 내부망으로의 침투 시, 웹기반 C2 서버를 구축하고 내부 시스템을 제어한다. 또한 백업 서버에 직접 IIS 웹서버를 설치해 명령 제어용 웹 페이지를 생성한다. 이러한 방식으로 공격자는 감염된 시스템을 원격으로 제어할 수 있다.
라자루스 그룹은 과거부터 웹 통신 기반의 명령 및 제어 인프라를 유지해 왔다. 그들은 망분리된 기업의 내부망에 침투할 때 웹 기반 C2 서버를 구축하는 경향이 있으며, 이를 통해 감염된 시스템들을 제어한다. 최근 공격에서는 VPN을 통해 내부망에 접근하는 시스템을 대상으로 한 공격에서도 동일한 패턴을 보였다.
감염된 시스템은 악성 서버와 통신하며 명령을 수신하고 공격자에게 정보를 전송한다. 이러한 명령 및 제어 인프라를 통해 라자루스 그룹은 공격 대상 시스템을 제어하고 데이터를 수집하는 데 사용하고 있다.
한편 최근 라자루스 그룹은 주로 서비스 설치를 통해 악성코드를 실행한다. 악성코드는 svchost 프로세스의 netsvcs 그룹 내에 등록되고 실행되는 경우가 많다. 이렇게 함으로써 악성코드는 정상적인 서비스로 위장해 실행되므로 탐지하기 어려워진다. 하지만 최근 윈도우 업데이트로 인해 svchost 프로세스가 윈도우 서명 없는 프로그램의 실행을 감지하는 기능이 강화되었다. 따라서 라자루스 그룹은 악성 코드 실행 방식을 변경할 가능성이 있다.
또 라자루스 그룹은 시스템에서의 지속성을 유지하기 위해 여러 가지 방법을 사용한다. 보통은 Security Packages 경로에 악성코드를 등록해 자동 실행되도록 하고, 악성코드를 System32 디렉토리에 배치하는 경향이 있다. 이러한 방식은 공격자에게 계속적인 접근 권한을 제공한다.
최근 공격 사례를 보면, 라자루스 그룹은 가짜 인증서버를 구축하고 피싱 메일을 통해 특정 서점을 사칭하는 방식으로 피해자를 유도했다. 피해자는 피싱 메일을 통해 해당 서점 홈페이지로 접속하고, 워터링홀 공격에 노출되었다. 이 공격을 통해 라자루스 그룹은 피해자의 시스템에 침투하고 악성코드를 배포한 것으로 조사됐다.
김동욱 선임은 “라자루스 그룹은 지속적으로 진화하고 고도로 정교한 사이버 공격을 수행하는 공격자 그룹 중 하나다. 이러한 공격으로부터 안전하게 보호하기 위해서는 최신 보안 업데이트 및 패치를 적용하고, 웹 보안을 강화하며, 네트워크 모니터링을 강화하는 등 다층적이고 종합적인 보안 대책이 필요하다”고 강조했다.
김동욱 선임이 권고한 정교한 사이버공격에 대응하기 위한 보안 대책은 다음과 같다.
▶보안 업데이트 및 패치
모든 시스템 및 소프트웨어를 최신 상태로 유지해야 한다. 최신 패치 및 보안 업데이트를 즉시 적용해 악용 가능한 취약점을 최소화하고 특히 운영체제와 웹 브라우저는 항상 최신으로 업데이트되어야 한다.
▶웹 보안 강화
웹사이트 및 웹 애플리케이션에 대한 적절한 보안 조치를 취해야 한다. 웹 어플리케이션 취약점 스캐닝, 웹 애플리케이션 방화벽 등을 사용해 웹 공격을 방지하고, 교육을 통해 피싱 메일과 웹사이트를 인식하도록 교육해야 한다.
▶네트워크 모니터링
네트워크 트래픽을 모니터링하고 이상 징후를 식별할 수 있는 보안 시스템을 도입하고, 악성 활동을 신속하게 탐지하고 차단할 수 있도록 감시 시스템을 강화해야 한다.
▶접근 권한 및 세그먼테이션
사용자 및 시스템 간의 접근 권한을 최소한으로 제한하고, 최소 권한 원칙을 준수해야 한다. 그리고 민감한 데이터 및 시스템에 대한 접근을 엄격히 제어하고, 내부망과 외부망 간에 망분리를 강화해 공격자의 확산을 방지해야 한다.
▶제로 트러스트 아키텍처 도입
제로 트러스트 아키텍처를 고려해 모든 네트워크 및 시스템에 대한 신뢰를 다시 평가하고, 인증 및 권한 부여를 강화해야 한다. 기존의 보안 모델을 개선해 내부 및 외부의 모든 접속을 검증하고 감시해야 한다.
▶교육 및 훈련
조직 내에서의 보안 교육과 훈련을 강화하는 것이 중요하다. 직원들에게 사이버 위협에 대한 인식을 높이고, 사회 공학 기술과 피싱 공격을 예방하기 위한 교육을 정기적으로 실시해야 한다.
라자루스 그룹과 같은 고도로 조직화된 사이버 공격자 그룹의 활동은 계속해서 진화하고 있으며, 이러한 공격으로부터 안전을 유지하기 위해서는 교육, 기술적 조치, 그리고 보안 문화의 확립이 필수적이다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
