Home > 전체기사

북한의 악명 높은 해킹 그룹, 단순한 기법으로 피해 일으켜 왔다

  |  입력 : 2021-11-19 18:36
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
한 보안 업체가 북한의 해킹 단체인 킴수키를 분석했다. 의외로 높은 기술력을 발휘하지 않고 세계 곳곳에서 피해를 일으켰다는 사실이 강조됐다. 그만큼 쉽게 당해주는 것이 지금 사이버 보안의 현실이다.

[보안뉴스 문가용 기자] 북한의 사이버 작전 수행 부대 중 하나가 사이버 스파이 행위를 외교관들과 지역 내 정치학 전문가들을 겨냥해 집중적으로 진행해 오고 있다는 내용의 보고서가 발표됐다. 주로 사용자 크리덴셜을 활용하는 기법을 사용하며 멀웨어는 극히 제한적으로만 사용한다고 한다.

[이미지 = utoimage]


보안 업체 프루프포인트(Proofpoint)가 발표한 보고서에 의하면 이 그룹은 TA406이라고 하는데 보통 킴수키(Kimsuky)라는 이름으로 더 잘 알려져 있다. 주로 미국, 러시아, 중국의 인물들이 표적이며 조용히 크리덴셜을 수집히거나 정보를 훔쳐내는 활동이 주를 이룬다. 그리고 이렇게 모은 정보를 활용해 금전적인 이득으로 전환하는데 이는 거의 모든 북한 해킹 그룹의 특징이다.

그 동안 킴수키 혹은 TA406은 침해하기 쉬운 사람이나 단체를 주로 노려왔었다. 하지만 프루프포인트에 따르면 올 한 해 동안 이들은 고위급 정부 요원이나 사법 기관의 지도부, 경제 전문가들을 주로 공격하는 모습을 보여주었다고 한다. 공격하기 까다로웠던 표적들을 공략하는 데 거리낌이 없어진 모습이다.

2021년 이전에 TA406은 국가 안보 소식들을 미끼로 삼지 않았었다. 하지만 프루프포인트의 부회장인 셰럿 드그리포(Sherrod DeGrippo)는 이러한 패턴 역시 바뀌고 있다고 설명한다. “최근 이들은 핵 무기, 미국의 조 바이든 대통령, 한국의 외교 전략과 같은 주제로 피해자들을 공략했습니다.”

하지만 그리 놀라운 일이라고 볼 수만은 없다. “TA406의 가장 큰 특징은 금전적 이득을 취하기 위해 모든 수단과 방법을 이용할 수 있고 그 만큼 유연하다는 것입니다. 그리고 같은 조직이나 개인을 반복해서 꾸준히 염탐한다는 것도 이들이 흔히 보이는 패턴이고요. 국가의 상황에 따라 공격 표적과 목적, 기법을 자주 바꾸기도 합니다.”

원래 보안 업계는 중국과 러시아의 사이버전 행위에 관심을 집중시켜 왔었다. 하지만 최근 들어 북한과 이란의 해커들 역시 집중의 대상이 되어가고 있다. 이번 주만 해도 미국과 영국, 호주의 정보 기관들이 연합하여 이란 해커들의 악성 행위를 규탄했다. 그보다 조금 전에는 북한의 유명 해킹 그룹인 라자루스(Lazarus)가 한국의 보안 소프트웨어를 익스플로잇 해서 라트비아의 IT 자산 관리 업체를 공격했다는 소식도 나왔었다.

이번 보고서에는 킴수키의 하위 그룹으로 보이는 세 개의 단체가 비교되고 있다. TA406 외에 TA408과 TA427이 같이 등장하고 있다. 이 셋은 규모가 작은 조직이나 큰 조직의 하위 조직들을 주로 노리며, 정부 기관, 학술 기관, 매체, 암호화폐 관련 조직들이 주요 표적이라는 공통점을 가지고 있다고 한다. “크리덴셜 즉 사용자 이름과 비밀번호를 수집해서 자신들의 목적을 달성하는 게 이들의 목적입니다. 하지만 그 외에도 다양한 기법을 사용하고 서로 공유합니다.”

이 세 북한의 해킹 단체들은 메시지 교류를 위해 다양한 플랫폼을 운영한다. PHP를 기반으로 한 PHPMailer나 스타(Star)는 물론 지메일과 얀덱스 같은 대형 서비스도 곧잘 운영한다. 이런 서비스들을 훔친 크리덴셜과 결합해 사용하면 사용자들이 보다 쉽게 속는다. 특정 환경에서 공격 지속성을 갖추기 위해 멀웨어를 사용하기도 하는데 이는 그리 자주 나타나는 패턴은 아니다. “2021년 TA406이 일으킨 보안 사건의 10% 정도에서만 멀웨어가 발견됐습니다. 멀웨어를 그리 선호하는 그룹이 아닙니다.”

결국 북한의 유명 해킹 그룹 중 하나가 되기까지 고급 해킹 기술을 적극 사용하지 않았다는 뜻인데, 크리덴셜 수집이라는 공격 기법이 얼마나 사용자들 사이에서 잘 통하는지를 반증하기도 한다. 실제 사이버 공격자들은 크리덴셜을 적극적으로 수집하고, 다크웹에서도 활발하게 거래한다. 코로나로 인해 집에서 근무하는 사람들이 늘어나면서 크리덴셜은 공격자들에게 더 영양가 높은 아이템이 되었다.

3줄 요약
1. 북한의 해킹 조직 킴수키, 주로 크리덴셜 탈취해 공격에 이용.
2. 멀웨어도 사용하긴 하나 10번 중 1번 꼴.
3. 결국 사용자들이 너무 쉽게 당해주고 있다는 것의 방증.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)