2024-03-28 20:05 (목)
[긴급] 한국 軍·안보·대북 연구기관 타깃 APT 공격 수행 포착...'작전명 물 탱크'
상태바
[긴급] 한국 軍·안보·대북 연구기관 타깃 APT 공격 수행 포착...'작전명 물 탱크'
  • 길민권 기자
  • 승인 2018.05.31 16:45
이 기사를 공유합니다

이번 워터링 홀 기반 표적공격...보안관제 회피 위해 난독화 기능 포함

▲ 과거 한국 침해사고에서 발견된 코드와 이번 물탱크 작전에서 사용된 코드의 유사성 비교(이스트시큐리티 제공)
▲ 과거 한국 침해사고에서 발견된 코드와 이번 물탱크 작전에서 사용된 코드의 유사성 비교(이스트시큐리티 제공)
2018년 4월부터 5월까지 한국의 외교·안보·통일 분야 연구를 수행하는 연구기관 및 대북단체, 군 관련 웹 사이트를 상대로 한 은밀한 워터링 홀(Watering Hole) 공격이 수행된 것으로 드러났다.

참고로 워터링 홀 공격은 육식동물인 사자가 초식동물 사슴 등을 습격하기 위해 물 웅덩이 근처에서 매복하고 있는 형상을 상징적으로 표현한 사이버공격으로 사전에 공격 대상에 대한 정보를 확보해, 관련 분야의 웹 사이트를 해킹하고 웹 사이트에 악의적인 취약점 코드를 삽입해 해당 사이트에 접속한 사람들만 감염되도록 만든 표적 공격을 일컷는다.

이번에 수행된 공격은 매우 은밀하게 수행되었으며 모두 한국의 특정 사이트들을 대상으로 수행되었다. 또한 내부 시스템 및 인프라 침투에 사용된 취약점은 대부분 한국의 기업과 기관이 주로 사용되는 고유한 프로그램이 악용된 것으로 조사됐다.

한국내 다수의 웹 사이트가 지능형지속위협(APT) 공격에 노출되었지만, 해당 전문분야에 속하지 않은 일반 사람들이 자주 접속하는 웹 사이트는 아니다.

이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터(이하 ESRC)는 "이번 공격에 대한 면밀한 조사를 통해, 워터링 홀 기반 표적공격이 특정 정부기관의 후원을 받아 정교하게 해킹을 시도하고 내부 기밀자료를 탈취하는 위협그룹으로 판단하고 있다"고 밝히고 주의를 당부했다. 다음은 ESRC의 이번 공격 분석 내용이다.

이들의 텔레메트리 자료를 살펴보면, 수년 전부터 한국의 방위산업체, 금융보안업체, 국방기관, 대기업, 금융기업 등을 상대로 은밀한 내부침투 및 사이버정찰을 전문적으로 수행했던 TTPs(Tactics/Tools, Techniques and Procedures)와 정확히 일치하는 캐스팅 포인트가 존재한다.

ESRC 측은 "이번 표적공격은 한국의 특정 싱크탱크(Think Tank) 사이트 등을 상대로 수행한 워터링 홀(Watering Hole) 공격이라는 의미에서 '작전명 물 탱크(Operation Water Tank)'로 명명한다"며 "과거 한국에서 식별된 다양한 침해사고와의 유사성 분석을 수행 중이다. 여기서 사용된 탱크(Tank)라는 표현은 군사무기인 '전차'라는 표현도 내포하고 있다"고 설명했다.

또 "최근 4.27 남북정상회담과 판문점 선언과 관련된 내용을 담은 한글 문서파일의 취약점을 악용한 스피어 피싱 정황도 연이어 포착되고 있는 상황이다"라고 밝히고 "스피어 피싱은 대부분의 업무에 쓰이고 있는 이메일 서비스 매개체를 활용해 특정인을 상대로 수행하는 표적공격이고, 1:1 맞춤형 공격이 수행될 경우 외부에 노출될 확률이 상대적으로 적으며 이메일 주소를 통한 공격타깃이 명확하게 정해져 있다. 반면 워터링 홀 공격은 특정 고유분야의 웹 사이트를 해킹해 그곳에 접속하는 불특정 다수를 노리게 되며, 전문가 집단의 포괄적인 위협대상이라 할 수 있다"고 덧붙였다.

워터링 홀 공격은 정치·사회적으로 특정 기간에만 은밀하게 치고 빠지는 전략에 활용될 가능성이 높다.

공격자는 2018년 4월 경부터 5월 사이 집중적으로 특정 웹 사이트를 해킹해 보안취약점을 가진 다양한 한국형 소프트웨어의 익스플로잇 코드(Exploit Code)를 삽입했다.

또한 취약점 코드가 캐스팅된 웹 사이트는 시차에 따라 변경해 보다 많은 취약코드가 작동하도록 신경을 썼다.

실제 공격에 사용된 코드는 보안관제를 회피하기 위해 나름대로 난독화 기능을 포함하고 있으며, 실제 정상 웹 사이트에 등록되어 있는 스크립트로 위장하는 전략전술을 구사하고 있다.

ESRC는 추적분석을 통해 해당 위협그룹이 다년간 다양한 공격경험과 지식을 보유하고 있음을 알 수 있었다고 한다.

보안 취약점 공격에 사용된 소프트웨어는 매우 다양한 종류가 활용됐고, 분석과 탐지를 방해하기 위해 나름대로 코드 난독화 기술을 사용하고 있었다. 취약점 코드는 종류에 따라 여러 단계를 거쳐 수행된다. 각각 다른 취약점 코드이기 때문에 개별적으로 다르게 작동이 될 수 있다.

워터링 홀 공격에 사용된 방식은 주로 액티브 액스 오브젝트 컨트롤 취약점이며, 취약점 방식에 따라 VBS 스크립트를 생성해 작동을 하게 된다.

Exploit Code가 실행되는 과정에 'temp.vbs' 코드를 활용한다. 여기서 사용된 코드는 2017년 워터링 홀 공격에서도 동일하게 발견된 바 있다. 'temp.vbs' 코드 내부를 살펴보면 2017년에 발견됐던 사례와 같은 흐름으로 작성된 것을 알 수 있다.

2017년 한국의 특정 대상을 상대로 수행된 것으로 추정되는 워터링 홀 공격에서 발견된 악성 프로그램과 이번 2018년 물탱크 작전에서 사용된 악성 프로그램의 내부 코드를 비교해 보면 동일한 함수 루틴을 가지고 있다는 것을 확인할 수 있다.

이 공격 코드의 유사 히스토리를 추적해 보면, 2007년에 사용된 기법과도 일부분 오버랩되고 있다. 동일한 공격자가 아니더라도 해당 위협그룹은 다년 간 일부 코드를 공유하거나 재활용하고 있을 것으로 추정된다.

ESRC 측은 "이번 사이버 작전처럼 국가 차원의 지원을 받는 것으로 추정되는 위협그룹의 활동은 다양한 전략 전술이 총동원되고 있다. 특히 한국에서 주로 사용하고 있는 특정 액티브 액스 컨트롤 취약점을 교묘하게 맞춤형으로 결합하는 등 공격자의 위협수위가 갈수록 높아지고 있다"며 "ESRC는 국가기반 위협그룹에 대한 체계적이고 지속적인 인텔리전스 연구와 추적을 통해, 유사 보안위협으로 인한 피해를 최소화할 수 있도록 관련 모니터링을 강화하고 있다. 관련 정부기관과 기업들의 각별한 주의가 필요하다"고 강조했다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★