2024-03-29 07:45 (금)
[인터뷰] “라자루스와 블루노로프 해킹조직, 서로 공조해 전세계 금융기관 해킹 중”
상태바
[인터뷰] “라자루스와 블루노로프 해킹조직, 서로 공조해 전세계 금융기관 해킹 중”
  • 길민권 기자
  • 승인 2017.09.03 15:52
이 기사를 공유합니다

캄룩 카스퍼스키랩 연구팀장 “라자루스가 침투경로 만들면 블루노로프가 돈 훔쳐내”

▲ 비탈리 캄룩(Vitaly Kamluk) 카스퍼시랩 아시아태평양 연구팀장. 라자루스와 블루노로프 해킹그룹에 대해 분석 내용을 설명하고 있다.
▲ 비탈리 캄룩(Vitaly Kamluk) 카스퍼스키랩 아시아태평양 연구팀장. 라자루스와 블루노로프 해킹그룹에 대해 분석 내용을 설명하고 있다.
지난 8월30일부터 9월1일까지 경찰청 주최로 개최된 2017 국제사이버범죄대응 심포지엄이 개최됐다. 이 자리에서 ‘국제금융전산망(SWIFT) 해킹 사건과 라자루스(Lazarus) 그룹 추적’이란 주제로 발표를 진행한 비탈리 캄룩(Vitaly Kamluk) 카스퍼스키랩 아시아태평양 연구팀장을 별도로 만나 인터뷰를 진행했다.

카스퍼스키랩은 2016년 방글라데시 중앙은행의 8천1백만 달러 도난 사건의 용의자로 지목받고 있는 악질 해킹그룹 라자루스(Lazarus)의 활동을 지속적으로 추적해 왔다.

캄룩 팀장은 “방글라데시 중앙은행을 공격한 것으로 의심되는 해킹그룹 라자루스에 대해 포렌식 분석을 진행해 왔다. 당시 방글라데시는 휴가철이었고 은행도 쉬는 날이었지만 이때 특이하게 3개의 경로로 해외 송금 기록이 발생했다”며 “공격자는 은행 내부 PC에 악성코드를 감염시키고 자신들에게 불법 송금을 발생시켰다. 이때 SWIFT가 무결성을 체크하지 못하도록 송금내역을 삭제하고 정상처리되도록 변조하는 등 높은 레벨의 공격을 성공시켰다”고 설명했다.

◇라자루스, SWIFT 코드 1비트만 수정하면 100만달러 훔칠 수 있다는 것 알아내

캄룩은 라자루스가 스위프트의 소프트웨어 구조를 완전히 분석했고 1비트만 수정하면 100만달러를 훔칠 수 있다는 것을 알아낸 것이라고 설명했다. 이는 스위프트의 취약점이 아니라 스위프트 관리자 PC를 장악해 어떻게 소프트웨어가 운영되는지 완벽하게 분석한 후 공격한 것이라고 밝혔다.

그는 “방글라데시 중앙은행 공격은 스위프트 해킹이 아니다. 해당 은행 관리자 PC가 해킹당한 것이다. 라자루스는 방글라데시 은행 뿐만 아니라 필리핀, 베트남 등 보안이 취약한 동남아 지역을 비롯한 아프리카, 라틴아메리카 등 19개 국가의 금융기관을 중심으로 카지노, 비트코인 관리 사이트, 투자회사 등을 해킹한 것으로 조사됐다”며 “최초 악성코드는 이메일에 의해 유입됐을 것으로 추정되며 우리가 확인한 것 이외에도 전세계 금융기관과 돈세탁을 위해 카지노, 비트코인 사이트 등 광범위한 타깃 공격이 이루어졌을 것”이라고 설명했다.

공격이 확인된 국가는 베트남, 폴란드, 멕시코, 코스타리카, 칠레 2곳, 브라질, 타이완, 에티오피아, 나이지리아, 가봉, 우루과이, 케냐, 태국, 이라크, 말레이시아, 인도네시아, 인도, 방글라데시 등이다.

그는 또 라자루스가 지난해 방글라데시 중앙은행 해킹 이후 올해 1월 폴란드 은행을 타깃으로 공격한 것을 발견했다고 언급했다.

◇올해 1월, 폴란드와 멕시코 금융기관도 라자루스 악성코드에 감염돼

우선 폴란드 정부 웹사이트를 해킹했다. 이 사이트는 폴란드 은행들 관리자들이 접속해 정책공고 등을 체크하는 곳이다. 공격자는 해당 사이트에 접속한 폴란드 은행 관리자 PC 9대를 감염시키는데 성공했다. 카스퍼스키랩 분석 결과 방글라데시 중앙은행에서 발견된 악성코드와 동일한 악성코드였던 것으로 확인됐다.

이외에도 멕시코 금융관련 사이트도 같은 시기에 같은 방법으로 해킹을 당한 것도 확인됐다. 공격자는 탐지를 막기 위해 해당 사이트에 접속한 모든 PC를 감염시킨 것이 아니라 그들이 타깃으로 한 IP대역에서 접속한 PC만 감염시키는 치밀함도 보였다. 이는 발각되는 것을 막고 자신들을 은폐하기 위해 타깃에게만 악성코드를 전달하기 위함이었다.

또 공격자는 비트코인 등 가상화폐 관련 2개 기업도 해킹해 가상화폐를 훔쳐내기도 하고 카드복사기 관리 소프트웨어를 해킹해 갱들이 훔친 카드정보를 다시 훔쳐 돈을 벌려고도 했다. 훔친 물건을 다시 훔쳐 익명성과 수익을 동시에 확보하려한 것이다.

◇라자루스와 블루노로프 해킹 그룹의 공조 공격

이 자리에서 라자루스 해킹그룹의 유닛으로 지목된 ‘블루노로프(BLUENOROFF)’ 그룹도 거론됐다.

캄룩 팀장은 “라자루스와 블루노로프 그룹에 대해 몇 달에 걸쳐 분석했다. 두 그룹이 하나의 조직이지만 다른 역할을 하는 다른 팀으로 추정된다. 라자루스는 한국의 3.20 사태와 같은 사회혼란을 목적으로 공격을 주로 담당하고 또 침투경로를 만드는 일을 주로하는 반면, 블루노로프는 자신들이 만든 공격툴로 실제 돈을 훔치는 목적의 사이버크라임을 주로 하는 것으로 분석됐다. 라자루스가 길을 만들어 놓으면 행동대장 역할은 블루노로프가 하는 형태”라며 “블루노로프의 악성코드를 분석해 보면 동작 시간대가 아시아권 시간대이며 공격후 자신들의 흔적을 지우는데 특화돼 있고 유창한 영어를 사용하고 있다”고 설명했다.

즉 블루노로프가 타깃 기업에 처음 침투할 때는 라자루스의 툴을 사용하고 공격 거점이 마련되면 블루노로프 툴을 이용해 실행하는 형태다. 공격이 완료되면 자신들의 공격툴을 지우고 나온다. 단독공격은 없고 항상 최초 침투시에는 라자루스의 툴을 사용한다는 것이다.

한편 캄룩은 이번에 블루노로프 악성코드를 분석하면서 특이사항을 발견했다고 밝혔다. 한국에서 사용하는 OS를 변형시켜 사용한 흔적이 악성코드에서 발견된 것이다. 공격코드를 만들 때 한국에서 사용하는 OS를 변형시켜 만든 것을 은폐하기 위해 덮어쓰기를 하면서 작은 오류코드가 만들어진 것이다. 캄룩은 이를 블루노로프의 실수로 보고 있다.

또한 캄룩은 “공격자들은 명령제어(C&C) 서버를 셋업한 후 악성코드를 감염시켜 접속이 원활하게 이루어지는지 테스트 후 실제 공격을 감행한다. 이때 프랑스와 한국의 VPN으로 테스트한 것이 발견됐다”며 “이 테스트 과정에서 VPN 접속이 끊어지면 진짜 IP가 노출된다. 이때 북한 IP가 찍힌 것이 확인됐다. 또 올해 1월 폴란드 은행을 공격할 때 명령제어 서버가 홍콩에 있었고 스페인 VPN를 사용했지만 접속이 끊어지면서 북한 IP가 찍힌 것도 확인했다”고 설명했다.

캄룩은 라자루스와 블루노로프 해킹그룹이 예전에는 사회혼란과 정보탈취 및 인텔리전스 정보 수집에 집중했지만 이제는 세계적으로 유일하게 돈을 버는 목적으로 해킹을 하는 그룹으로 규정했다. 그는 지금도 이 그룹은 은행과 카지노, 가상화폐 에이전시 등을 공격하고 있다고 말한다. 계속해서 변종 악성코드와 공격툴을 만들고 있으며 최소 100명 이상의 조직원으로 구성됐고 아시아 특정 국가가 지원하는 조직으로 추정하고 있다. 이들의 공격은 멈추지 않을 것이다.

마지막으로 캄룩은 “우리는 객관적 정보를 바탕으로 분석 정보를 제공하고 있다. 라자루스와 블루노로프 해킹그룹을 지원하는 국가가 북한일 수도 있고 제3국일 수도 있다. 하지만 확실한 것은 이들은 대규모 조직의 지원을 받고 있으며 돈을 버는데 집중하고 있다”며 “APT 공격은 작은 공격이라도 어떻게 침투했고 무엇을 목적으로 했는지 알고 대응해야 한다. 단순히 악성코드를 찾고 삭제하는 일회성 조치만 하면 안된다. 지속적이고 체계적인 대응이 필요하다”고 강조했다.

한편 Kimsuky 악성코드에 대해서는 “Kimsuky 악성코드는 최근 몇 년 동안 거의 확인되지 않고 있다. 라자루스와 코드 일치성도 보이지 않는다. 둘의 연관성은 있을 수도 있고 없을 수도 있다”고 덧붙였다.

또한 오는 9월 21일 데일리시큐 주최로 열리는 ‘대한민국 정보보호 인텔리전스 컨퍼런스 K-ISI 2017’에서는 국내 최고의 보안리서처들이 한국을 위협하는 북한, 중국 및 사이버 크라임 조직들의 위협을 분석한 내용들을 공개할 예정이다. 올해 국내 사이버 사건사고 분석과 북한의 사이버 공격, 중국 해커들의 한국 사이트 개인정보 유통, 한국을 타깃으로 하는 금융기관 사이버 범죄 조직에 대한 상세 분석 등 정보보호 실무자들이 꼭 알아야 할 내용들이 공개된다. 등록신청은 아래 링크를 이용하면 된다.

-K-ISI 2017 등록: conf.dailysecu.com/conference/k-isi/2017_1.html

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★