2020-07-04 02:40 (토)
[K-ISI 2017] 최상명∙이세빈, 북한 태블릿 PC 묘향과 탈북자 타깃 북한의 사이버공격 분석
상태바
[K-ISI 2017] 최상명∙이세빈, 북한 태블릿 PC 묘향과 탈북자 타깃 북한의 사이버공격 분석
  • 길민권 기자
  • 승인 2017.09.24 22:52
이 기사를 공유합니다

최상명 실장 “북한 해커, 탈북자 테러와 감시 목적 해킹공격 급증…주의”

▲ K-ISI 2017에서 북한 태블릿 PC 묘향에 대한 분석 내용과 탈북자 대상 해킹 공격에 대해 발표를 진행하고 있는 최상명 실장과 순천향대 이세빈 발표자.
▲ K-ISI 2017에서 북한 태블릿 PC 묘향에 대한 분석 내용과 탈북자 대상 해킹 공격에 대해 발표를 진행하고 있는 최상명 실장과 순천향대 이세빈 발표자.
지난 9월 21일 데일리시큐 주최로 열린 ‘대한민국 정보보호 인테리전스 컨퍼런스 K-ISI 2017’이 200명 이상의 국내 보안전문가들이 참석한 가운데 한국과학기술회관 대회의실에서 개최됐다.

이 자리에서 하우리 최상명 실장과 순천향대 이세빈씨는 ‘North Korea’s Surveillance-Defector & Tablet’을 주제로 강연을 진행했다.

이번 발표는 북한 정부가 북한 주민 및 탈북자들을 감시하고 통제하기 위해 사용하는 기술들을 연구한 결과를 공개했다. 우선 북한에서 2015년에 출시된 ‘묘향’이라는 태블릿을 직접 분석해 태블릿을 사용하는 북한 주민들이 생성한 데이터들이 외부로 공유되는 것에 대한 북한 정부의 감시 및 추적기능을 살펴봤다.

그리고 외부에서 유입되는 새로운 앱 및 새로운 데이터(이미지, 동영상)들을 차단하기 위해 태블릿에 포함된 다양한 통제 기능들을 소개했고 또한 워터링홀 공격 및 스피어피싱 공격들을 통해 탈북자들의 다양한 PC활동을 감시하고 있는 북한의 사이버 위협 현실에 대해 공유하는 자리였다.

▲ 묘향에 대해 분석한 내용을 공개하고 있는 순천향대 이세빈.
▲ 묘향에 대해 분석한 내용을 공개하고 있는 순천향대 이세빈.
이번에 분석한 북한이 자체 개발한 태블릿 PC ‘묘향(myohyang-eng 4.4.4)’은 북한 평제회사에서 개발한 제품으로 다양한 게임 어플리케이션이 설치돼 있고 게임 제목 및 메뉴 등 북한말로 설정된 제품이다.

유틸리티는 기존 안드로이드의 갤러리, PDF 리더 등 유틸리티 어플리케이션도 있고 북한 사전, 주체사상 학습자료 검색 어플도 있었다. 또 사전 파일의 정보는 외장 SD카드 내부에 저장돼 있었다.

또한 감시 기능도 존재했다. 직접 묘향 테블릿 PC를 최상명 실장과 분석한 이세빈 씨는 “감시 어플은 일반적인 태블릿에 존재하지 않는 것으로 해당 태블릿에서 생성되지 않은 파일은 실행되지 않았다. 또 기존에 설치된 APK 이외의 파일은 설치가 안됐다”며 또 “Redflag라는 전자서명체계를 갖고 있었으며 이를 통해 추가 어플 설치 차단 기능, 실행된 어플 감시 기능을 수행하고 있었다. 또 서명(Signing)을 통해 기기에 생성된 파일에 서명과 서명된 파일 검사를 통해 차단 기능을 수행하고 서명을 통해 파일을 생성한 기기도 추적하고 있었다”고 분석 내용을 설명했다. 이외에도 상세한 Sign 체계에 대한 설명도 이어졌다.

주민 통제를 위해 외부에서 유입된 정보를 태블릿에서 실행하면 파일에 서명이 되어 있지 않아 실행할 수 없도록 해 외부 정보 유입을 차단하는 방식이었다.

한편 최상명 실장은 탈북자 대상 해킹공격도 급증하고 있다고 밝혔다.

▲ 탈북자 대상 스피어피싱 공격
▲ 탈북자 대상 스피어피싱 공격
최 실장은 “최근 북한 주요 탈북인사 테러지시를 내리며 한국에 거주하는 탈북자 메일과 카카오톡 메시지 정보 탈취, 위치추적 등을 위해 한국내 탈북자 관련 웹사이트를 대상으로 워터링홀 악성코드를 유포하고 한글 제로데이 취약점을 활용해 스피어피싱 공격을 전방위적으로 진행하고 있다”며 “북한 해커들도 탈북자 감시 작업을 위해 활발하게 움직이고 있다”고 전했다. 이와 관련 한글 최신 취약점을 사용한 고스트스크립트 라이브러리 원격코드 실행 취약점 공격에 대한 상세설명도 진행했다.

또한 국내 탈북자들이 주로 사용하고 있는 카카오톡 등 메신저 대화도 감시하고 있다고 밝히고 실제 사례를 소개했다. 더불어 북한 관련단체를 사칭한 악성 메일 사건 즉 ‘최순실 악성코드’도 북한 소행으로 드러났다고 밝히고 탈북 관련 웹사이트 이용자들의 각별한 주의를 당부했다.

또 그는 “북한 해커들은 한국을 타깃으로 한 공격에 IE 제로데이 취약점과 보안솔루션 우회 공격을 통해 특정 확장자의 파일을 지속적으로 빼내가고 있다”며 이에 대한 철저한 대비가 필요하다고 강조했다.

★정보보안 대표 미디어 데일리시큐!★