지난 2014년 한국수력원자력을 공격한 북한의 해킹 조직 김수키(Kimsuky)가 이번에는 한국과 미국을 동시에 노린 사이버 공격을 진행한 것으로 보인다는 분석이 제기됐다.
이스트시큐리티 시큐리티 대응센터(ESRC)는 17일 “한국의 대북 관련 분야에 종사하는 인물을 대상으로 4월 11일 기준 스피어 피싱(Spear Phishing) 공격이 수행된 것을 발견했다”며 “지난 3일 ‘최근 한반도 관련 주요국 동향’, ‘3.17 미국의 편타곤 비밀 국가안보회의’ 내용으로 진행된 APT(지능형 지속위협) 공격의 연장 활동으로 드러났다”고 밝혔다.
지난 3일에 외교·안보·통일 분야 및 대북·탈북 단체들을 표적으로 사이버 공격을 시도한 북한 해킹 조직에서 일주일여 만에 다시 공격을 시도한 것으로 이 조직의 공격은 올해 확인된 것만 10건에 달하고 있다.
ESRC는 “공격자는 ‘한미정상회담 관련 정부 관계자 발언’ 제목으로 수신자를 현혹했다”며 “이메일에는 ‘한미정상회담 관련 정부 관계자 발언.hwp’ 이름의 악성 파일이 첨부되어 있다”고 설명했다.
그러면서 ESRC는 “악성코드에 감염되면 키로거가 실행돼 감염된 컴퓨터의 정보가 은밀히 해커에게 유출된다”며 “레지스트리(운영 체제의 설정과 선택 항목을 담고 있는 데이터베이스)에 등록해 C2(해커가 만든 명령제어 서버) 통신만으로 스파이 기능을 수행하게 만든다”고 경고했다.
여기서 키로거는 키로깅 프로그램을 일컫는 말로, 키로깅은 사용자가 키보드로 PC에 입력하는 내용을 몰래 가로채 기록하는 행위를 말한다.
문종현 ESRC 이사는 데일리NK에 “악성코드에 감염되면 레지스트리에 해커가 만든 C2와 통신할 수 있는 URL이 등록된다”며 “이럴 경우 재부팅 때마다 C2와 통신하는 명령이 실행돼 정보가 유출된다”고 말했다.
또한, 이번 공격에 앞서 미국을 겨냥한 공격도 진행된 것으로 전해졌다.
ESRC는 “2019년 04월 01일 오후 05시 15분(KST)에 만들어진 ‘TaskForceReport.doc’ 이름의 악성 문서 파일이 해외에서도 관찰됐다”며 “이 악성 DOC 문서 파일은 최근 한국 및 미국 등지에서 발생한 특정 침해사고와 연계되는 정황이 포착됐다”고 밝혔다.
미국의 보안업체인 팔로알토가 지난 1월 미국의 싱크탱크를 공격한 악성코드를 공개했는데 이것이 이번에 발견된 문서의 코드가 거의 같다는 것이 ESRC의 설명이다.
ESRC는 “해당 위협 조직이 국내외 맞춤형 표적공격에 적극 가담하고 있을 것으로 풀이된다”며 “이 APT 공격에 사용된 악성 코드 시리즈가 한국에서 발견된 ‘김수키’와 직·간접적으로 연결된다”고 설명했다.
이번 APT 공격 배후에는 ‘특정 정부의 후원을 받는 조직(state-sponsored actor)’이 있다는 것이 ESRC의 설명이며 통상적으로 특정정부의 후원을 받는다고 불리는 조직 중 한국어를 능통하게 사용하는 곳은 북한으로 통용되고 있다.
한편, 이번에 공격에 사용된 악성파일 제작자가 국내 온라인 IT 아웃소싱 플랫폼, 해외 비트코인 포럼 등에서 활동하는 것으로 나타났다.
ESRC는 “악성 파일 제작자는 ‘windowsmb’, ‘JamFedura’, ‘Aji’, ‘DefaultAcount’, ‘yeri’, ‘Roberts Brad’ 등의 독특한 윈도우즈 계정 등을 사용했고, 비트코인 등을 거래하거나 사행성 도박게임, 암호화폐 관련 프로그램 개발에 참여하고 있는 것도 확인됐다”며 “일부 계정의 경우 한국의 카카오톡(Kakao Talk)에도 등록되어 있으며, 텔레그램(Telegram), 스카이프(Skype) 등의 메신저 서비스를 이용하고 있다”고 말했다.
