2019-11-21 01:15 (목)
'금성121' 정부후원 해킹그룹의 최신 APT 공격...'작전명 로켓 맨' 분석
상태바
'금성121' 정부후원 해킹그룹의 최신 APT 공격...'작전명 로켓 맨' 분석
  • 길민권 기자
  • 승인 2018.08.25 16:27
이 기사를 공유합니다

ESRC 문종현 이사, 9월 10일 개최되는 K-ISI 2018에서 상세 분석 내용 공개

▲ 금성121 그룹의 공격 벡터 사례. ESRC 제공.
▲ 금성121 그룹의 공격 벡터 사례. ESRC 제공.
북한 정부가 후원하는 것으로 추정되는 해킹 그룹의 한국을 타깃으로 한 공격이 지속되고 있고 그 공격방법도 계속 진화하고 더욱 교묘해지고 있다.

지난 3월 20일 한국 대북 단체 및 국방분야를 주요 공격 대상으로 사이버 침투활동을 전개해 온 정부지원 APT 위협그룹 금성121(Geumseong121) 조직이 안드로이드 기반 모바일 스피어 피싱 공격을 수행한 바 있다. 이런 가운데 이 조직은 올해 8월 한국의 특정 대상을 겨냥한 최신 스피어 피싱 공격을 했다는 정황이 추가로 포착됐다. 이 그룹은 한국의 기업 인사담당자로 위장해 공격을 수행하고 있어 각별한 주의가 요구된다.

이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터(이하 ESRC)의 최근 분석에 따르면, 베일에 쌓여있는 공격자들은 CVE-2018-4878 제로데이(0-Day) 취약점을 카카오톡 메신저로 유포한 바 있고, 악성 한글(HWP) 문서를 활용해 은밀한 표적공격도 수차례 시도했다.

지난 3월에 발견된 모바일 스피어 피싱(APK)의 경우에는 '불법' 대신 '비법'이라는 표현이 포함된 상태로 악성 APK 악성앱이 유포되었다.

ESRC 측은 "금성121 그룹은 특정 정부가 배후에서 지원할 것으로 믿고있는 국가기반 사이버 군대조직으로 한국의 대표 포털사에서 개발한 모바일 백신 앱으로 위장한 공격을 수행했었고, 이와 관련된 악성앱(Trojan.Android.Fakeav)에 대한 상세한 분석정보를 포스팅한 바 있다"고 전했다.

이후 이 내용은 시스코 탈로스(Cisco Talos), 팔로알토네트웍스 유닛42(Unit 42) 보안 블로그의 포스팅을 통해 추가 위협 사례들이 자세히 공개된 바 있다.

ESRC에서 다년간 조사한 결과 이 공격그룹은 2013년 전후부터 한국 등을 상대로 수년간 지속적으로 사이버 캠페인을 수행해 왔으며, 주요 위협 벡터로는 워터링 홀, 스피어 피싱, 소셜 네트워크 피싱, 토렌트 피싱 공격 등을 사용하고 있다.

이런 가운데 올해 8월 한국의 특정 대상을 겨냥한 최신 스피어 피싱이 추가로 발견되었다. 이 공격을 분석하던 중 몇 가지 흥미로운 사실을 발견하기도 했다. 또한 공격자는 한국의 기업 인사담당자로 위장해 공격을 수행하고 있다.

금성121이 사용하는 스피어 피싱 전략에는 나름의 고유한 특징이 존재한다. 직접적인 감염 유도(Lure, Decoy)파일을 첨부하는 대신 해킹한 한국의 웹 사이트 주소를 추가하고, 마치 첨부된 파일처럼 이미지로 교묘히 위장하는 수법을 사용한다.

이들도 정교한 한글을 사용하지만 간혹 지리적 언어 표현에 미묘한 차이가 존재하는 경우도 있다. 이러한 접근 방법론은 공격자의 언어 구사력을 기반해 지역적 특색을 분석하는데 활용된다. 또 공격에 이용된 다양한 메타 데이터는 과거에 수행된 흔적들과 침해사고 연관성 지표에 핵심단서로 활용이 되고 있다.

◇금성121 해킹그룹, 한국 PC용 보안프로그램으로 위장해 공격

이번 8월에 새롭게 발견된 공격은 지난 3월 공격과 마찬가지로 한국의 보안프로그램 처럼 아이콘을 위장했다. 하지만 이번에는 모바일 보안이 아닌 PC용 보안 프로그램으로 위장한 것이 특징이다.

공격 벡터에 따라 보안 프로그램으로 위장한 악성코드는 여러 단계를 거쳐 추가 파일을 설치하게 되는데, 닷넷 버전별로 선택적인 명령을 수행하게 한다.

닷넷 기반으로 유포된 악성파일에는 'Ant.pdb' 라는 빌드 데이터를 볼 수 있다. 특히 공격자는 '로켓(Rocket)'이라는 프로젝트 폴더에서 악성파일 변종 시리즈를 지속적으로 제작하고 있는 것을 알 수 있다. 다음은 Rocket 경로에서 제작된 PDB 경로다. ESRC가 이번 캠페인을 '작전명 로켓 맨(Operation Rocket Man)'으로 명명한 이유다.

- E:projectwindowsRocketAntApiPubnubApiobjDebugnet35Pubnub.pdb

- E:projectwindowsRocketAnt_3.5AntobjReleaseAnt.pdb

ESRC는 공격에 활용된 코드를 분석하던 중 위협 인텔리전스(TI) 혼선 기법의 거짓 플래그(False Flag)를 다수 발견했다. 제작자는 중국어 영문식 표기로 어린아이를 의미하는 'Haizi' 영어 표현을 사용했다.

이 표현은 추후 설치되는 닷넷 기반의 프로그램에서도 동일하게 사용되는 것이 확인된다. 닷넷 기반 악성코드에서는 'PAPA'라는 문자가 존재한다. 그러나 아버지를 의미하는 중국어의 영문표기는 'BABA'가 사용되고 있다.

단순히 이를 기반으로 추론했을 때 공격자는 중국어 역시 모국어가 아닐 가능성도 존재하는 중요한 단서가 될 수 있다.

이렇게 설치된 악성코드는 암호화된 ini 설정 파일을 다운로드해 복호화 과정을 거치게 된다. 이 설정 파일은 'desktops.ini' 파일명을 가지고 있으며, 취약점 공격을 사용하던 명령제어(C2) 서버와 동일한 곳에서 수신하게 된다.

명령어를 통해 암호화되어 있는 설정 파일은 XOR 0x17 키값으로 복호화가 진행되고, 복호화가 완료되면 서비스로서의 인프라스트럭처(Infrastructure as a Service)의 하나인 퍼브너브(PubNub) 채널로 명령제어 통신을 시도한다.

공격자는 여기서도 'LiuJin' 계정을 사용한다. 이 부분 역시 중국근거 요소로 사용할 수 있도록 유도하는 부분 중에 하나다.

'LiuJin' 영문 표기는 다양한 표현이 존재한다. 중국어로 표현하면 '刘劲'(리우진)으로 사용할 수 있고 중국의 배우이름이나 온라인게임에서도 사용된다.

코드 안에는 중국과 연관되는 다양한 기록들이 의도적으로 남겨져 있는데, ESRC에서는 언어적, 지리적 코드를 고의로 노출해 위협 인텔리전스에 혼선을 유발하기 위한 교란전술 가능성이 높다고 판단하고 있다.

이처럼 공격자는 정상적인 IaaS 서비스를 이용해 은밀하고 교묘하게 통신을 수행하고 있어 유해 트래픽을 식별하는데 많은 어려움이 존재하게 된다.

◇공격에 사용된 서버 통해 공격자의 유사 위협 사례 조사하는데 유용하게 활용

2017년 9월에는 동일한 기법의 스피어 피싱 사례가 발견된 바 있다. 이 공격에도 한글(HWP) 취약점이 사용되었다. 메타 데이터가 2018년 8월 침해사고 지표와 동일하게 존재한다.

공격자에 대한 계정명과 OLE 코드도 동일하게 사용되며, 참고자료 처럼 위장하고 원본 메일에 회신하는 형태로 구성되어 있는 특징이 있다.

공격에 사용된 악성 프로그램은 'icloud.exe' 파일명도 사용하고 내부에는 다음과 같은 PDB(Program Data Base) 코드가 존재한다.

-E:))PROGdoc_exeReleasedown_doc.pdb

해당 PDB 시리즈는 변종 악성파일에 따라 매우 다양하게 존재하며 동일 시리즈 중에 AOL 메신저(AIM)를 이용하는 2013년 초기버전과도 연결된다.

AOL 메신저로 통신하던 초기모델 이후 한국의 웹 사이트를 해킹해 통신하는 형태로 진화하고 이후에는 스트림네이션(Streamnation.com)을 통한 명령제어 방식을 사용한다. 명령제어 통신용 계정 가입에는 주로 한국, 미국, 중국, 인도, 러시아 등의 이메일 정보를 사용한다.

그 다음에는 피클라우드(pcloud.com)나 얀덱스(yandex.com), 드롭박스(Dropbox) 등의 클라우드 서비스를 지속적으로 활용했다. 최근에는 IaaS 방식이며, 사물인터넷(IoT) 클라우드 디바이스를 하나의 시스템으로 상호 연결할 때 사용할 수 있는 실시간 네트워크 플랫폼인 퍼브너브(PubNub) 서비스를 통신제어 방식으로 사용하고 있다.

이 공격에 사용된 명령제어 서버는 'endlesspaws.com' 도메인으로 이 호스트는 수차례 유사 공격에 이용된 바 있다. 위협 인텔리전스 측면에서 이 공격에 사용된 서버를 통해 공격자의 유사 위협 사례를 조사하는데 유용하게 활용할 수 있다.

ESRC는 이 도메인이 2015년 대북관련 한국의 워터링 홀 공격과 연관된 것도 확인했으며, 2017년 실행 파일을 첨부한 스피어 피싱 공격에도 사용된 증거를 확보했다고 밝혔다.

더불어 CVE-2017-8759 취약점을 통한 공격도 존재한다. 그 중 일부를 중국 보안업체인 텐센트에서 블로그를 통해 공개한 바 있다.

2017년 2월에도 다수의 유사 위협 사례들이 포착됐다. 당시 '탈북 인사 보호 강화를 위한 안전수칙'이라는 내용으로 현혹해 악성코드를 유포하는데 'endlesspaws.com' 도메인이 이용되기도 했다.

마치 '안전수칙.zip' 파일을 이메일에 첨부한 것처럼 보이지만 실제로는 'endlesspaws.com' 도메인에서 압축파일을 설치하도록 연결해 두고 있으며, HWP 문서처럼 위장한 이중확장자의 EXE 실행타입의 악성파일이 포함되어 있다.

공격자는 이중확장자로 위장하면서 아이콘도 문서파일 리소스를 활용해 얼핏보기에 정상적인 HWP 파일로 보이도록 조작해 두었다.

악성파일은 내부에 암호화 함수 루틴으로 구성된 코드를 로드하고 특정 16진수 코드들을 로직 XOR 0x55 키값으로 디코딩하게 한다.

ZIP 압축파일을 유포하는데 사용된 C2 도메인과 마찬가지로 EXE 실행형 악성파일은 다음과 같은 주소로 접속을 시도했다.

- http://endlesspaws.com/vog/tan[.]php?fuck=x

- http://endlesspaws.com/vog/denk[.]zip

추가로 다운로드되는 'denk.zip' 파일은 겉으로 보기에 ZIP 형식의 압축파일로 보이지만, 실제로는 HWP 형식의 문서파일이다.

보통 EXE 형식으로 유포되는 악성코드는 내부에 정상적인 한글(HWP) 문서를 포함한 후 감염될 때 보여주거나, 명령제어 서버에서 정상적인 한글 문서를 다운로드해 보여준다. 하지만 이번 사례는 추가로 악성 HWP 문서를 다운로드해 설치하는 독특한 절차를 수행한다.

이미 감염된 시스템에 문서기반 악성 파일을 추가로 설치하는 특이한 경우라 볼 수 있다. 해당 문서파일에는 공격에 사용된 이메일 내용과 일치하는 내용이 포함되어 있어, 다른 사이버 작전과 혼동해 잘못된 파일이 링크된 것은 아닌 것으로 ESRC는 파악하고 있다.

'denk.zip' 파일에는 DefaultJScript 영역에 악성 스크립트 코드를 삽입했고, BASE64 코드로 인코딩된 악성 DLL 파일을 임베디드 형식으로 포함하고 있다가 스크립트 작동시 디코딩해 로딩하게 된다.

BASE64 코드가 디코딩되어 작동하는 악성 DLL 파일에는 다음과 같은 PDB 경로가 포함되어 있으며, 총 6개의 한국 명령제어(C2) 서버와 통신을 시도하게 된다. 통신시에는 'srvrlyscss' 코드를 사용한다. 이 코드는 한국내 다수의 침해사고 지표에서 포착된 바 있다.

▲ 통신에 사용하는 'srvrlyscss' 스트링을 가진 코드 화면
▲ 통신에 사용하는 'srvrlyscss' 스트링을 가진 코드 화면

그리고 중복실행 방지를 위해 사용한 뮤텍스(Mutex) 코드로 'taihaole9366' 이라는 스트링이 사용되었다. 'taihaole'는 중국어 영문표기와 일치하며 의미는 '매우 좋다'이다. 공격자는 과거부터 중국어 영문표기 방식을 매우 자주 사용했으며, 이외에도 다양한 표현이 존재한다.

한편 올해 1월에는 기존 한국 보안 프로그램으로 위장한 사례와 다르게, 중국의 유명 보안 프로그램으로 위장해 유포되는 경우도 확인됐다. 공격자는 한국의 웹 사이트 'ebsmpi.com' 사이트에 마치 중국의 360 토탈 시큐리티 보안 프로그램 웹 페이지처럼 위장한 가짜 화면을 추가했다.

당시 실제 중국에서 운영되고 있던 웹 사이트의 소스코드를 복사해 사용했으며, 다운로드되는 파일만 악성으로 변경해 사용했다.

중국의 보안 프로그램처럼 파일명(360TS_Setup_Mini.exe)을 위장하고 있으며, 아이콘 리소스 역시 실제 정상 프로그램 것을 그대로 도용해 사용했다. 그리고 추가적인 닷넷 기반 악성파일이 환경조건에 따라 설치시도 된다.

ESRC는 "또한 2018년 8월 한국의 포털사 보안 프로그램 위장 공격 벡터 기법과 100% 일치하고 암호화 알고리즘도 동일한 것을 확인했다"고 밝혔다.

정상적인 '360TS_Setup_Mini.exe' 파일은 'cgalim.com' 도메인에서 'temp.set' 파일명으로 설치하게 되는데, 이 경로는 하기 유사한 침해사고에도 동일하게 사용된다.

닷넷 기반의 초기 악성파일에는 다음과 같은 PDB 경로들이 포함되어 있으며 최신 변종들에서는 일부 생략되어 있다.

ESRC는 분석을 통해 악성파일 실행시 정상 프로그램을 또 다른 해킹서버에서 다운로드해 이용자로 하여금 정상적인 프로그램처럼 인식하도록 만들고 있다는 것을 검증했다.

이때 사용하는 명령제어 서버가 기존 안드로이드 악성앱(1.apk) 유포와 비트코인 관련 'bitcoin-trans.doc' (MD5 : 8ab2819e42a1556ba81be914d6c3021f) 악성파일에서 확인된 호스트와 오버랩된다.

'cgalim.com' 도메인의 경우는 하위 주소 /hr/ 경로외에도 /1211me/ 주소에서도 변종 파일이 유포된 이력이 존재한다.

동일 조직은 2015년과 2016년에 대북 유관단체 등을 상대로 한 워터링 홀 공격을 수행했다. 당시에 공격자들은 플래시 플레이어 취약점을 적극적으로 활용했다. 북한관련 뉴스 사이트나 대북관련 웹 사이트들이 집중적으로 해킹되었으며, 이 공격은 수개월간 지속됐다.

▲ 워터링 홀 공격에 사용된 플래시 플레이어 취약점 코드 화면
▲ 워터링 홀 공격에 사용된 플래시 플레이어 취약점 코드 화면

공격 조직은 2015년 당시 CVE-2015-5119, CVE-2015-0313 최신 플래시 플레이어 취약점 뿐만 아니라, 이탈리아 해킹팀(Hacking Team) 서버 해킹으로 유출된 플래시 플레이어 취약점인 CVE-2015-5119 취약점 등을 사용한 바 있다.

그리고 이들은 2017년 하반기부터 카카오톡 메신저 등을 활용해 공격 대상자를 선별하고 CVE-2018-4878 플래시 플레이어 제로데이 취약점 공격을 수행하기도 했다.

공격자는 여러 워터링 홀 공격 중에 플래시 플레이어 취약점에 의해 다운로드된 추가 악성코드가 사용자 계정 컨트롤을 통한 관리자 권한 실행에 실패할 경우 약 5분 후 가짜 하드디스크 문제 오류창을 출력한다.

그리고 마치 백업 프로세스로 조작해 관리자 권한 CMD 명령으로 악성코드를 재실행 하도록 유도한다. 이때 사용한 한글표기 중 일부가 북한에서 사용하는 영문식 컴퓨터 용어표현(프로쎄스, 프로그람)과 동일한 것을 알 수 있다.

◇금성121 해킹그룹, 명령제어 통신방식에도 진화 계속

명령제어 통신방식에도 나날이 진화를 거듭하고 있다. 가장 초기에는 AOL(America Online) 메신저인 AIM(America Online Instant Messenger) Oscar 프로토콜을 이용해 명령제어를 수행했다.

AIM 메신저의 계정과 암호를 통해 암호화된 명령을 주고 받는데, 로그인 암호가 한글식 영문 타이핑이라는 것을 알 수 있다. 또한 초기에 사용한 PDB 경로에는 AOL 폴더에서 개발된 것을 알 수 있다.

AIM 메신저로 통신을 시도할 때 공격자는 로그인 계정과 암호를 통해 접속한 후 암호화된 메시지를 또 다른 계정 사용자에게 발송하게 된다.

실제 감염된 경우 컴퓨터 정보, 추가 명령 등 암호화된 메시지가 전송되게 되며 다양한 계정들을 사용한 바 있다.

공격자들은 대표적으로 aol.com, hotmail.com, yahoo.com, India.com, inbox.com, gmail.com, zmail.ru 등의 계정들이 존재하며, 이외에도 다양한 변종들을 제작해 사용해 왔다.

2016년 초 공격자는 'zum36084@gmail.com', 'zum36084@zmail.ru', 'daum14401@zmail.ru' 등의 이메일을 생성한 후 테스트용 이메일을 발송하는 것도 확인됐다.

IoA(Indicators of Attack) 기반으로 조사를 하면 공격자는 마치 '구글 계정팀' 처럼 'zum36084@gmail.com' 이메일을 설정한 것을 알 수 있으며, 처음부터 한글을 사용하고 있다는 것도 확인할 수 있다.

2016년 3월 3일 테스트한 이메일에서는 '0303_zmail.gif' 파일을 첨부해 발송하는데, XOR 0x69 키 등으로 2단계 암호화된 EXE 형식의 악성파일이다.

복호화된 악성파일은 특정 컴퓨터 이름만 감염되도록 설정한 특징이 존재하는데, 이곳에는 한글 이름과 특정 언론사의 기자도 포함되어 있다.

특히 주목해야 할 점은 AOL 메신저로 로그인하기 위해 사용된 암호코드(dPQms&Thvldk1987) 알파벳을 한글 키보드에서 변환하게 되면 한국어로 '예쁜&쏘피아1987' 표현으로 완벽히 변환이 된다는 것이다.

공격자는 AOL 메신저 통신기법에서도 다수의 중국식 표현을 복합적으로 사용하기도 한다. 또 다른 변종에서는 'Dajiahao' 코드를 Mutex 키로 사용하는데, 중국어로 '여러분 안녕하세요.'라는 의미를 가지고 있다. AOL 로그인 계정 암호로는 (dPfWls&Rkapfns19) 알파벳을 쓴다. 이것도 한글 키보드 상태에서 입력하면 한국어로 '옐찐&까메룬19' 표현으로 변경되는 것을 알 수 있다.

이러한 종류의 변종은 매우 다양한 형태가 발견되었는데, 'SEIKO' 컴퓨터명을 감염대상으로 하고 있는 경우에는 내부에 다음과 같은 PDB 경로가 존재한다. 공격자는 'zum36085@zmail.ru', 'pghlsn333@gmail.com' 이메일을 사용한다.

- F:2_ProgramOrbis_zmailReleaseRecvTest_zmail.pdb

유사한 시리즈로는 다음과 같은 PDB 자료를 포함하고 있다.

- F:2_ProgramOrbis_academiaReleaseRecvTest_zmail.pdb

- F:2_ProgramOrbis_academiaReleaseRecv_Pwd_2_India.pdb

ESRC는 이들이 APT 표적공격 외에도 불특정다수를 겨냥한 다양한 공격 기법을 활용하는 정황도 포착한 바 있다. 바로 한국의 토렌트 웹 사이트에 가입해 불법 소프트웨어 속에 은밀하게 악성코드를 삽입해 유포하는 기법이다.

내부에 악성코드를 삽입한 후, 유명 상용 소프트웨어를 불법적으로 사용할 수 있도록 배포를 하는 방식이다.

실제 공격자가 한국의 특정 토렌트에서 활동하면서 얻은 포인트 이력은 다음과 같고, 업로드와 댓글 등의 활발한 움직임을 보이기도 했다.

▲ 한국의 토렌트 사이트에서 활동한 이력 화면
▲ 한국의 토렌트 사이트에서 활동한 이력 화면

◇금성121 그룹의 공격기법 변화 과정

2013년 상반기 AOL 메신저를 통한 통신 기법이후에 공격자는 잠시 한국의 웹 사이트를 해킹해 명령제어로 활용을 하기도 한다. 그러나 해당 웹 사이트들이 노출되고 신속하게 차단되자 지속적 효용성이 떨어진다는 것을 의식한 것으로 추정된다.

그래서 얼마 후에 다시 AOL 메신저를 통한 통신 기법으로 회귀해 지속적인 변종을 제작했고, 그러다 워드프레스(WordPress) 기반 웹 사이트를 집중적으로 해킹해 워터링 홀 공격 거점으로 활용하게 된다.

워드프레스 웹 사이트를 이용한 공격에서는 주로 플래시 플레이어 취약점 파일을 이용하게 되며, 개인용 미디어 허브 서비스인 'Streamnation' 클라우드 계정을 본격적으로 쓰게 된다.

공격자는 그 과정에서도 꾸준히 AOL 메신저를 이용한 통신 방식을 유지했고, 스피어 피싱이나 워터링 홀 공격의 중개 서버로는 워드프레스 웹 사이트를 C2로 활용하게 된다.

그러던 중 'Streamnation' 서비스가 2016년 2월경 서비스를 종료한다고 알려지면서, 공격자는 2016년 1월 말부터 'zmail.ru' 서비스를 본격적으로 테스트하기 시작한다. 물론, 공격자는 그 전부터 'zmail.ru' 서비스를 이용하고 있었다.

그렇게 'zmail.ru' 서비스 등을 통해 공격자는 새로운 C2 서버 체계로 변경을 시도하고, AOL 메신저 통신과 함께 'pCloud' 서비스를 도입하기 시작한다. 클라우드 서비스 계정을 생성할 때는 한국 뿐만 아니라 미국, 중국, 인도, 러시아 등 다양한 국가의 무료 이메일 서비스를 활용하기도 한다.

공격 전술의 변화는 시간이 갈수록 변화를 거듭하며, 친구 추가가 되어 있지 않은 특정 대상을 상대로 카카오톡 메시지로 CVE-2018-4878 취약점 파일을 전송하거나, 스마트폰 이용자를 겨냥한 안드로이드 악성앱 유포도 발견되었다.

2017년 말 암호화폐 관련 내용의 DOC 문서 취약점 공격은 해외에서 먼저 보고되기도 했다. 그외 한국, 중국 등의 보안프로그램 위장 유포, 토렌트를 통한 악성코드 무차별 배포 등 공격 기술을 꾸준히 업그레이드 하고 있다는 것을 알 수 있다.

ESRC 측은 "지금까지 사례외에도 동일한 IoC 코드나 메타 데이터를 사용하는 유사한 침해사고가 한국에서는 수년간 계속 이어지고 있다. 그 변화 과정을 지속적으로 추적 연구해 나가고 공유하겠다"고 밝혔다.

한편 오는 9월 10일 국내 최고 정보보안 분석가들의 사이버위협 인텔리전스 정보 공유의 장 'K-ISI 2018 대한민국 정보보호 인텔리전스 컨퍼런스'가 한국과학기술회관 국제회의실에서 정부, 공공, 금융, 대기업 보안실무자 등 300명 이상이 참석한 가운데 개최된다. 이 자리에서 ESRC 문종현 이사의 '정부지원 추정 해커의 APT 공격 사례 연구' 발표가 있을 예정이다.

K-ISI 2018 사전등록: http://conf.dailysecu.com/conference/k-isi/2018.html