check 3d gpu
바로가기
메뉴로 이동
본문으로 이동

[K-ISI 2017] 곽경주 “공격은 계속…위협 인텔리전스 전담팀 구축 필요해”

“위협 인텔리전스와 사이버 공격자 프로파일링…데이터 사이언스의 영역”

길민권 기자 mkgil@dailysecu.com 2017년 09월 24일 일요일

▲ K-ISI 2017에서 라이플 캠페인 분석 내용을 발표하고 있는 곽경주 금융보안원 과장.
▲ K-ISI 2017에서 라이플 캠페인 분석 내용을 발표하고 있는 곽경주 금융보안원 과장.
지난 9월 21일 데일리시큐 주최로 열린 ‘대한민국 정보보호 인테리전스 컨퍼런스 K-ISI 2017’이 200명 이상의 국내 보안전문가들이 참석한 가운데 한국과학기술회관 대회의실에서 개최됐다.

이 자리에서 금융보안원 침해위협분석팀 곽경주 과장은 Landscape of a rising threat in Financial Sector’를 주제로 발표를 진행했다.

이번 발표에서 그는 “최근 금융권은 많은 공격을 받고 있다. 이는 공격 그룹들이 외화벌이에 집중하고 있기 때문”이라며 최근 공격에 사용된 악성코드와 TTP(Tactics Techniques and Procedures) 프로파일링 결과를 상세히 설명했다. 또 해당 공격 방식의 특징과 유사점 등에 대해 분석 내용을 공개해 큰 관심을 끌었다.

우선 공격그룹에 대한 설명이 시작됐다. ‘라자루스(Lazarus)’는 한국 7.7, 3.4 디도스 공격과 미국 소니픽쳐스 엔터테인먼트, 3.20 사이버테러(DarkSeoul)를 실제 수행한 공격그룹으로 알려져 있다.

‘안다리엘(Andariel)’은 디아블로의 캐릭터로 라자루스와 연관성을 나타내기 위해 사용된 이름으로 한국만을 대상으로 공격을 수행하고 있다. 곽 과장은 “한국의 기업 내부 보안 솔루션 DLP, DRM 그리고 백신, 액티브엑스 취약점을 이용한 공격을 진행했다. 국내 보안솔루션은 제로데이 공장으로 불릴만큼 취약하다”며 “안다리엘은 라자루스와는 일부 코드패턴을 제외하고는 거점 확보에 중점을 두고 있으며 공격 지속 방식 등의 TTP(Tactics Techniques and Procedures)가 완전히 다르다”고 소개했다.

또 ‘Manuscrypt’ 위협그룹에 대해서는 “블루노로프(Bluenoroff)와 관련이 있어 보이지만 추가 확인이 필요하다. 2017년 국내 A시중은행 망분리 환경을 공격했으며 국내 B시중은행 WebDAV 서버을 공격해 거점을 확보한 바 있으며 올해 국내 PG사 등 전자금융회사 및 비트코인, SWIFT 서비스 관련 회사를 대상으로 한글 문서 악성코드를 이용해 지속적으로 공격하는 그룹”이라고 전했다.

▲ 곽경주 과장 발표자료 내용.
▲ 곽경주 과장 발표자료 내용.
이어 CAMPAIGN RIFLE(라이플 캠페인)에 대한 상세 분석 내용도 소개됐다. 이 캠페인의 최초 식별은 2016년 I사 코드서명 인증서 도용 악성코드였으며 50여 종의 관련 유사 변종이 확인됐다. 2015년 11월 ADEX(서울국제항공우주 및 방위산업전시회)에 참가한 방산업체 대상 공격에 사용된 악성코드와 유사성이 발견됐다. 또 2016년 2월 S사 DRM 위장 악성코드 관련 공격과 유사성이 추가 발견됐고 이후 지속적으로 유사성 있는 일련의 국내 침해사고와 관련있는 캠페인이다.

라이플 캠페인과 관련된 국내 침해사고를 보면 △DARKSEOUL: 3.20 사이버테러 △XEDA: 방산업체 스피어피싱 공격 △INITROY: 코드서명 인증서, 소스코드 탈취 △GHOSTRAT: 대기업 계열사 및 항공사 공격 △DESERTWOLF: 국방 관련 공격 △BLACKSHEEP: 국방 관련 공격 △VANXATM: ATM기 해킹 △MAYDAY: 금융회사 노동조합 워터링홀 공격 등이다. 좀더 상세한 분석 내용을 살펴보면 다음과 같다.

XEDA는 지난 2015년 11월 국내 주요 방위산업체와 관련 산하기관을 대상으로 이루어졌으며 엑셀 매크로를 이용한 추가 악성코드 다운로드 및 실행을 유도한 공격이었다.

INITROY는 2015년 11월 I사 내부보안솔루션 취약점을 이용해 내부 시스템을 장악 후 코드서명 인증서를 탈취한 공격이다. 이후 2016년 2월 I사에서 탈취한 정보를 이용해 특정 학술단체 홈페이지를 이용해 I사 코드서명 인증서로 서명된 악성코드를 유포했다. 이를 통해 국내 10개 기관 19대 PC가 감염된 바 있다.

GHOSTRAT은 2014년 7월부터 2016년 2월까지 이루어졌으며 공격대상은 D항공사와 S그룹 17개 계열사가 타깃이었다. 피해규모는 27개 회사 14만대 PC가 감염됐고 I테라 규모 4만2천600건의 문서가 유출됐다. 주로 방위산업 자료와 네트워크 전산자료 들이었다. 이용된 취약점은 M사 자산관리솔루션이었다.

VANXATM은 2017년 3월 국내 VAN사를 타깃으로 백신 및 내부 업데이트 서버 취약점이 공격에 이용됐다. 피해규모는 2016년 9월부터 올해 2월까지 감염 ATM 거래 건수로 카드정보 23만건에 달하며 실제 인출된 피해액도 1억264만원 규모다.

MAYDAY는 2017년 5월 국내 시중은행 노동조합 홈페이지를 타깃으로 노조 홈페이지에 웹쉘 업로드 후 인덱스 페이지에 악성스크립트를 삽입하는 방식으로 공격했다. 액티브엑스 취약점을 이용한 워터링홀 공격이었다. 특정 은행 IP 접속시에만 악성행위를 수행하는 방식으로 침해된 홈페이지는 총 260여 개 이상으로 추정된다.

곽경주 과장은 라이플 악성코드에 대한 상세 분석 내용도 공개했다. 특히 워킹타임을 보면 오전 9시에 출근해 집중공격이 이루어지고 점심시간과 저녁시간은 공격이 줄어드는 등 전형적인 한국시간에 맞게 공격작업이 이루어졌음을 알 수 있다고 전했다. 또 멀웨어 언어도 한국어 코드로 이루어졌다고 밝혔다. 

보다 상세한 라이플 멀웨어 분석 내용은 곽경주 과장의 발표자료를 참조하면 된다. 데일리시큐 자료실에서 다운로드 가능하다.

▲ 곽경주 과장 발표현장.
▲ 곽경주 과장 발표현장.
곽 과장은 라이플 캠페인에 대해 “공격그룹은 공격대상의 IT인프라, 내부 직원 명단 및 인사현황까지 치밀하게 사전에 파악했다. 주로 링크드인과 페이스북 등에 공개된 정보를 활용했다. 또 최근 안다리엘의 관심사는 SWIFT, 스마트 업무 지원 시스템 등이며 관련 내용을 정보수집 서버에 MS 워드 형태로 저장해 두고 있다”고 전하고 “파악한 정보를 토대로 공격대상을 선택하거나 내부 인프라의 취약점을 찾아내 공격을 진행하고 있다. 내부 침투 성공후, RAT, 키로거 등을 지속적으로 침투시켜 내부 주요 직원 PC 및 서버를 찾아 추가 공격을 수행해 내부 기밀을 탈취하고 업무를 마비시키는 공격을 진행하고 있다”고 설명했다.

또 “주로 제로데이 취약점을 이용한다. 액티브엑스 취약점, 기업용 내부 보안솔루션 취약점, SMB 취약점, WebDAV 취약점(CVE-2017-7269) 등을 사용하며 내부 거점 확보 후, 리버스 터널링을 주로 이용하며 IP 은폐를 위해 상용 VPN 서비스를 이용한다. 가끔 VPN 소프트웨어 오류로 실제 IP가 노출되기도 한다”고 덧붙였다.

이어 최근 공격 방식의 변화도 설명했다. 이 부분은 발표자료를 참고하면 된다.

곽경주 과장은 “이제 위협 인텔리전스와 사이버 공격자 프로파일링은 데이터 사이언스의 영역이 됐다. 그리고 위협 인텔리전스를 위해 기업들은 위협에 대한 위험도 평가를 할 수 있는 기술력과 통찰력을 갖춰야 한다. 지속적으로 내외부 위협요소에 대한 정보를 수집할 전담팀이 필요하고 인테리전스 담당자는 반드시 기술기반의 인력과 동시에 커뮤니케이션 스킬이 있어야 한다”며 이어 “위협그룹들은 알려지지 않은 취약점을 찾거나 거점을 확보하기 위한 공격을 계속 진행 중이며 최근 공격은 주로 경제적 이익을 목적으로 하고 있다. 특히 안다리엘을 포함한 블루노로프, 라자루스 뿐만 아니라 중국 쪽 위협그룹 등에 대한 관심이 앞으로 더욱 필요할 것”이라고 강조했다.

끝으로 그는 이번 연구에 도움을 준 이스트시큐리티 문종현 이사와 카스퍼스키랩 GReAT팀 박성수 책임에게 감사의 인사를 전했다.

★정보보안 대표 미디어 데일리시큐!★


<저작권자 © 데일리시큐, 무단 전재 및 재배포 금지>
목록