check 3d gpu
바로가기
메뉴로 이동
본문으로 이동

[K-ISI 2017] 박문범 연구원, 북한 APT 공격조직 분석 내용 공개

길민권 기자 mkgil@dailysecu.com 2017년 09월 25일 월요일

▲ K-ISI 2017에서 APT 공격조직 분석 내용을 발표하고 있는 KISA 박문범 선임연구원.
▲ K-ISI 2017에서 APT 공격조직 분석 내용을 발표하고 있는 KISA 박문범 선임연구원.
지난 9월 21일 데일리시큐 주최로 열린 ‘대한민국 정보보호 인테리전스 컨퍼런스 K-ISI 2017’이 200명 이상의 국내 보안전문가들이 참석한 가운데 한국과학기술회관 대회의실에서 개최됐다.

이 자리에서 박문범 한국인터넷진흥원 선임연구원은 ‘특정 APT 조직 프로파일링을 위한 사이버무기 정밀 분석’을 주제로 발표를 진행했다.

박문범 선임은 북한 APT 공격조직으로 분류되고 있는 라자루스(Lazarus), 블루노로프(Bluenoroff), 안다리엘(Andariel) 공격그룹에 대해 상세 분석 내용을 공개했다.

라자루스는 한국 정부, 금융기관, 방송사를 타깃으로 사회혼란을 목적으로 공격을 주로했고 2013년 3.20 다크서울, 2014년 소니픽쳐스 해킹, 2017년 워너크라이 랜섬웨어 공격 그룹으로 지목했다.

블루노로프는 한국을 비롯해 글로벌 금융기관을 타깃으로 외화벌이가 목적인 그룹으로 분류했다. 이 조직은 2015년과 2016년 SWIFT 은행 공격, 2017년 폴란드 은행, 2017년 한국 비트코인 기업 해킹공격 그룹으로 설명했다.

안다리엘은 한국 금융기관, 방위산업체, 대기업과 중소기업을 타깃으로 정보수집과 금전획득을 목적으로 공격을 진행했다. 대표적으로 올해 한국 ATM기 해킹을 주도한 조직으로 소개했다.

공격 방법에 대해서는 특정 소프트웨어 제로데이 취약점과 워터링홀 공격, 스피어피싱 이메일 공격, 사회공학적 기법을 주로 사용했다고 밝혔다.

▲ 박문범 선임연구원 발표자료
▲ 박문범 선임연구원 발표자료
또한 2016년 GHOSTRAT와 DESERTWOLF와 2017년 VANATM 공격에 대한 설명도 진행했다.

특히 DESERTWOLF에 대해 “2016년 8월 북한이 한국 국방부의 군사 네트워크에 침입한 사건이다. 3천200개의 호스트와 700개 군 인트라넷이 공격을 받았다. 분석 결과 북한 선양 IP 주소가 발견됐다”고 소개했다. 관련 공격에 사용된 공격 방법에 대해서도 상세한 설명이 있었다.

또 올해 3월 발생한 VANATM건은 공격자가 ATM 서비스 공급자를 공격해 600대 이상의 ATM기를 대상으로 RAT와 키로거 악성코드를 감염시켰다. 멀웨어는 DESERTWOLF에서 발견된 동일한 C&C서버와 연결돼 있었다고 말했다.

이외에도 공격에 사용된 한글 취약점을 이용한 공격 방법에 대해서도 상세한 설명이 있었다. 박문범 선임의 공개용 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.

★정보보안 대표 미디어 데일리시큐!★


<저작권자 © 데일리시큐, 무단 전재 및 재배포 금지>
목록