2019-11-17 22:21 (일)
한국서 발생한 다수의 APT 해킹 공격 주도한 해커조직 프로파일링 결과
상태바
한국서 발생한 다수의 APT 해킹 공격 주도한 해커조직 프로파일링 결과
  • 길민권 기자
  • 승인 2016.09.29 00:14
이 기사를 공유합니다

박문범 연구원 “피해 서버 아티팩트 보존성 높으면 보다 더 정밀한 공격자 특정 가능”

데일리시큐가 주최한 2016 대한민국 정보보호 인텔리전스 컨퍼런스(K-ISI 2016)가 지난 22일 한국과학기술회관에서 200여 명의 공공, 금융, 기업 보안실무자가 참석한 가운데 정보보호 인텔리전스를 주제로 흥미로운 발표들이 진행됐다.

이 자리에서 박문범 연구원(APT 공격조직 프로파일링 연구회)은 ‘공격자 그룹 프로파일링 기법’을 주제로 발표를 진행했다. 북한정찰총국 해킹조직에 대한 분석 내용이라 큰 관심을 끌었다.

◇동일한 해킹조직으로 특정할 수 있는 근거들
박문범 연구원은 “북한의 인터넷은 정확히 군사목적으로만 사용한다. 이번에 공개하는 조직은 북한 내부에서만 활동하는 조직으로 한국을 비롯한 적국을 대상으로 공격을 하고 있다. 과거에는 웹사이트를 통해 악성코드를 유포했지만 최근에는 HWP, MS워드 등 문서파일 취약점을 이용해 악성코드 유포후 내부망 공격을 하고 있다. 악성코드를 타깃 내부 특정 PC에 감염시키고 PMS 등 내부 솔루션 업데이트 서버의 프로토콜 취약점을 이용해 악성코드를 확산시켜 원하는 데이터를 획득하고 시스템을 파괴하는 작업을 수행했다. 이 조직이 실행한 공격으로는 한국 금융기관과 언론사를 마비시킨 3.20 사이버테러, 7.7디도스 공격, 중앙일보 해킹, 소니픽쳐스 해킹, 한수원 협력업체 해킹, 국내 자산관리 솔루션 개발사 해킹, 정부부처 출입기자 노트북 해킹, 청와대 사칭, 농협 해킹, 최근 쇼핑몰I사 해킹 등 다양하다”고 설명했다.

이 공격조직을 특정할 수 있는 프로파일링 요소에 대해서도 설명했다. 박 연구원은 “여러 APT 공격을 동일 조직이 수행했다고 특정할 수 있는 요소들이 있다. 해킹 당한 피해 서버 측 아티팩트를 사용하면 특정 공격조직의 정보를 수집할 수 있다. 피해 서버를 분석하면 공격자 C&C 통신방식, C&C 서버 소스코드, RAT, 웹쉘 정보 수집이 가능하다. 특히 위 사고들에서 항상 특정 웹쉘을 발견할 수 있었고 공격조직의 동일한 IP도 확인됐다. 그리고 피해 서버를 통해 공격자 운영체제, 사용 브라우저, 조직원 규모까지 파악할 수 있으며 어느 기관을 해킹했는지도 알 수 있게 된다. 즉 피해 서버에 남아있는 데이터만 가지고도 공격자의 모든 행위분석을 할 수 있다”고 밝혔다.

특히 그는 피해 서버 측 아티팩트의 보존성을 강조했다. 아티팩트 보존성이 높으면 악성코드 분석을 통한 프로파일링 보다 더 정밀한 공격자 특정이 가능하다고 강조했다.

또 피해 서버에서 공통적으로 발견된 웹쉘에 대해서도 “특정 IP가 해당 웹쉘에 접속한 것을 알 수 있고 웹쉘의 형식도 앞서 언급한 모든 공격에 사용된 악성코드 경유지, 유포지, C&C 서버 등에서 동일한 웹쉘이 발견된 것으로 분석됐다. 이를 통해 각기 다른 공격이지만 동일한 공격그룹에서 동일 웹쉘을 사용해 공격했다는 것을 특정할 수 있다”고 밝히고 “공격에 사용된 C&C 서버도 동일한 체계를 갖고 있는 것을 알 수 있다”고 전했다.

◇동일한 공격조직이 실행한 실제 대형 APT 공격 사례들
그는 북한의 동일조직이 실행한 APT 공격 사례 몇가지도 소개했다.

2014년 발생한 소니픽쳐스 해킹사건에서도 동일한 웹쉘이 발견됐으며 이 웹쉘은 태국의 모 대학교 웹서버에서 발견됐다. 쇼핑몰 I사 해킹에서도 그때와 동일한 웹쉘이 발견됐고 침투과정도 거의 유사하다. 직원에게 스피어피싱 메일을 보내 악성코드를 전파했고 직원 PC에서 빼낸 개봉전 영화와 각종 정보들을 태국과 대만 C&C서버에 올려놓고 공개했던 사건이다.

2014년 12월 발생한 한수원 협력업체 해킹 사건도 한수원 협력업체 대표에게 스피어피싱을 보냈다. 한글 취약점을 이용해 문서파일에 악성코드를 심어 대표 PC를 감염시켰고 이후 5개의 악성코드를 설치해 원전설계도, 터빈, 제어프로그램 정보 등을 빼낸 것이다. 이를 한국 특정업체 FTP 서버에 암호화해서 업로드 한 사건이다.

"최근 발생한 쇼핑몰 I사 해킹도 동일 조직의 소행"
올해 5월에 발생한 쇼핑몰 I사 해킹사건은 그리스에 있는 이메일 서버를 활용해 내부직원에게 동생으로 가장해 메일을 전송했다. 공격자는 직원을 속이기 위해 동생의 말투도 그대로 사용하고 동생과 함께 찍은 사진도 활용했다. 메일에 첨부된 파일은 스크린세이버였으며 직원은 의심없이 이를 실행했고 동시에 공격자 C&C 서버에 접속돼 12가지 명령을 실행하는 파일들이 다운로드 됐다. 공격자는 내부 파일서버에 접속해 악성코드를 업로드하고 내부 직원 PC들에 악성코드를 전파하게 된다. 이때 데이터베이스를 관리하는 관리자 PC도 감염되고 이후 조금씩 데이터를 빼내 온두라스, 대만 등에 있는 C&C 서버에 DB를 업로드해 유출해 간 것이다.

박 연구원은 “I사 사건에서 공격자가 동생 네이버 메일 계정과 가족 사진을 어떻게 빼냈는지 아직 명확하지 않다. 두가지 시나리오를 가정해보면, 올해 초 네이버 아이디와 패스워드를 탈취하려는 피싱사이트가 많이 나타났다. 이를 통해 동생 메일계정이 유출됐을 수도 있다. 또 하나는 지난 7월 이 회사에 악성코드가 삽입된 이력서 한 통이 유입된 것이 확인됐다. 이를 통해 해당 직원 메일계정이 유출되면서 사건의 발단이 됐을 수도 있다”고 전했다.

◇”PDB 정보를 보면 동일 조직의 공격임을 알 수 있어”

그렇다면 동일조직의 공격이라고 특정할 수 있는 근거는 무엇일까.
박 연구원은 “동일 그룹의 공격자라고 특정할 수 있는 가장 큰 근거는 디버깅 정보가 포함된 PDB 정보를 보면 알 수 있다. 앞서 언급했던 각기 다른 해킹사건에서 발견된 PDB가 동일했다. 동일한 악성코드 개발자에 의해 개발된 악성코드란 것을 알 수 있다. 해킹당한 정부부처 출입기자 노트북에 있던 PDB도, 한수원 협력업체 대표 PC에서 분석된 PDB도 동일했다”고 밝혔다.

한편 악성코드 분석만을 통한 프로파일링의 한계도 지적했다. 박 연구원은 “지난 을지훈련 기간에 정부기관 대상 위장공격을 위해 국내 기관에서 만든 훈련용 악성코드를 해외 백신업체들이 이를 모르고 북한이 남한을 공격하기 위해 만든 악성코드라며 분석리포트까지 발행한 사례가 있다. 즉 위에서 언급한 프로파일링이 아닌 단순히 악성코드 분석만으로 프로파일링을 하게 되면 이와 같은 오류를 범할 수 있다”고 소개했다.

이번 K-ISI 2016 박문범 연구원의 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.

★정보보안 & IT 대표 미디어 데일리시큐!★