2019-11-16 17:52 (토)
NSHC 해킹그룹 분석 보고서 공개 "북한 정부 지원 해킹그룹의 한국내 활동은..."
상태바
NSHC 해킹그룹 분석 보고서 공개 "북한 정부 지원 해킹그룹의 한국내 활동은..."
  • 길민권 기자
  • 승인 2018.12.12 17:14
이 기사를 공유합니다

"10월 말에서 11월 말까지 새로운 변종 악성코드 지속적으로 제작해 공격"

NSHC-1-1.jpg
NSHC(허영일 대표)에서 2018년 10월 21일부터 11월 20일까지 한 달간 수집한 데이터와 정보를 바탕으로 국가 지원 해킹 그룹들의 활동을 요약 정리한 보고서를 12일 발표했다.

보고서는 지난 한 달 간 발견된 특정 정부 지원 해킹 그룹들의 활동과 관련 이슈를 정리했으며 이와 관련 특정 기업의 침해사고 정보와 알려지지 않은 침해지표도 포함하고 있다. 다음은 보고서를 발췌한 내용이다.

◇북한 정부 지원 해킹그룹의 활동

북한 정부의 지원을 받고 있는 섹터A그룹들 중 11월에는 총 4개 해킹그룹이 활동한 것이 발견됐다. 특히 섹터A05 그룹은 새로운 악성코드 변형들을 10월 말에서 11월 말까지 지속적으로 제작할 정도로 단기간에 왕성한 활동을 보여주었다.

이 외에 발견된 다른 해킹 그룹의 활동은 현실세계에서 재화로 변환이 가능한 금융정보 탈취를 목적으로 한국과 아르헨티나를 포함한 남미 지역의 금융권을 대상으로 했다.

이 중 한국의 경우에는 암호화폐 거래소와 함께 암호화폐를 보유하고 직접 거래를 진행하는 개인 거래자도 해킹의 대상으로 포함한 것으로 판단된다.

해킹 활동에서 사용하는 기법은 악성코드가 첨부된 스피어 피싱(Spear Phishing) 이메일을 공격 대상에게 전달하는 기법을 활용하고 있어 해킹 기법면에서는 큰 변화가 없다.

이번 11 월에도 총 3 종류의 새로운 한글(HWP) 파일 형태의 악성코드가 발견되었으나, 과거에 활용되었던 악성코드에서 일부 코드만 수정해 다시 활용한 형태로 판단된다.

그러나 섹터A05 그룹에서는 상용 원격 제어 소프트웨어인 팀뷰어(TeamViewer)의 소스코드를 기반으로 제작한 새로운 악성코드가 발견되었으며, 그 동작 방식 역시 팀뷰어 소프트웨어와 동일한 형태로 동작하는 것이 확인 되었다.

이러한 사항을 고려 할 때 방어 전략 차원에서 조직 내부에서 상용 원격 제어 소프트웨어의 활용과 사용 이력을 다시 검토할 필요가 있을 것으로 판단된다고 밝혔다.

이외에도 보고서는 중국 정부 지원 해킹그룹, 러시아 정부 지원 해킹그룹, 인도 정부 지원 해킹그룹, 베트남 정부, 터키 정부 지원 해킹그룹 등에 대해서도 분석 내용을 전달하고 있다.

더불어 라자루스로 알려진 북한 정부 지원 해킹그룹의 최근 국내 활동 현황에 대해서도 리포트하고 있다.

보고서요약본은 데일리시큐 자료실에서 다운로드 가능하며 실제보고서는 NSHC Threat Recon 서비스를 신청하면 받을 수 있다.

★정보보안 대표 미디어 데일리시큐!★