보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

친구끼리 아웅다웅? 북한의 유명 백도어, 러시아 외교 시설에서 발견돼

입력 : 2024-02-26 16:53
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
김정은과 푸틴도 열심히 눈치를 살피나 보다. 특히 러시아를 향한 북한의 눈은 다른 곳을 향할 줄을 모른다. 이미 오래 전부터 행해왔던 북한의 러시아 파악의 노력이 최근 또 발견됐다.

[보안뉴스 문가용 기자] 북한 정부의 지원을 받는 해커들이 러시아를 염탐했던 것으로 보인다. 이를 위해 자신들이 즐겨 사용하는 백도어를 러시아 정부 기관 내부에서 사용하는 소프트웨어에 심기까지 했다는 사실이 드러났다.

[이미지 = gettyimagesbank]


2024년 1월 중반 즈음, 콘니(Konni)라는 백도어의 샘플 하나가 바이러스토탈(VirusTotal)에 업로드 됐다. 콘니 자체야 이미 알려진 멀웨어니 그렇게까지 흥미로울 게 없었다. 재미있는 건 ‘포장’이었다. 러시아어로 된 인스톨러 파일 내에 콘니가 감춰져 있었던 것이다. 인스톨러는 스타티스티카KZU(Statistika ZKU)라는 소프트웨어 도구의 설치 파일인 것으로 보였다.

이에 독일의 보안 업체인 DCSO사이텍(DCSO CyTec)이 조사를 이어나갔다. 하지만 스타티스티카KZU라는 소프트웨어에 대한 기록이나 자료를 도무지 찾을 수가 없었다. 설치 경로와 파일의 메타데이터, 사용자 매뉴얼 등 인스톨러 파일에 포함되어 있는 정보를 분석했다. 그리고 러시아 외교부에서 내부적으로 사용하는 소프트웨어라는 결론을 내리게 됐다. 해외 영사관이나 외교 인력들이 보내는 자료들을 종합해 통계를 내주는 공식 정부 기관용 도구인 것으로 보인다고 DCSO사이텍은 설명했다. 다만 러시아 외교부 내부 사정을 정확히 들여다본 건 아니라 확정적으로 결론을 내릴 수는 없었다고 한다.

보안 업체 밤베넥컨설팅(Bambenek Consulting)의 회장 존 밤베넥(John Bambenek)은 “러시아 정부 내에서만 사용하기 때문에 별다른 정보도 얻기 힘든 소프트웨어를 북한 해커들이 공략했다는 것은 대단히 독특한 일”이라고 짚는다. “북한 해커들이 자신들이 꼭 염탐하고 싶으 대상을 선정해, 꽤나 깊이 있게 조사한 것으로 보입니다. 아이러니 하게도 러시아 해커들이 종종 보여주는 놀라운 모습이 바로 이것이죠. 피해자들에 대하여 꼼꼼하게 조사해 맞춤형 공격을 실시하는 것 말입니다.”

러시아와 북한, 적이기도 하면서 친구이기도 한
러시아와 북한은 역사적으로 긴 우호 관계를 유지하고 있는 국가들이다. 게다가 양쪽 모두 국제 사회에서 고립되다시피 한 이들이라 최근에는 더욱 가까워지고 있다. 심지어 사이버 범죄 단체들도 양국 출신들은 서로에게 꽤나 우호적인 모습을 종종 보여주기도 한다.

하지만 사이버 공간에서는 무슨 일이 일어나도 이상하지 않다. 북한의 해커들은 꽤나 빈번하게 자신들의 친구인 러시아를 정탐하는 것으로 알려져 있다. 러시아의 기업들을 특별히 목표로 삼아 정찰 캠페인을 펼친 것이 5년 이상이며, 외교 및 정책, 국방 전문가들 역시 자주 노리고 정보를 가져간다. 콘니 멀웨어는 북한 해커들이 정보를 빼가야 하는 상황에서 자주 사용됐고, 러시아에서도 몇 차례 발견된 적이 있다.

과거의 이런 사례들이 있어 북한 해커들은 러시아 깊숙한 곳에서부터 정보를 가져올 수 있었고, 그래서 스타티스티카라는 소프트웨어의 존재에 대해서도 알게 된 것으로 추정된다. 즉 과거의 정보 탈취 캠페인이 있었기에 이번의 공격도 가능했다는 뜻이다. 하지만 이 역시 아직까지는 추정에 불과하다.

DCSO는 자사 게시글을 통해 다음과 같이 썼다. “북한의 해커들이 스타티스카라는 소프트웨어의 존재에 대해 어떻게 알게 되었는지 도무지 알 수가 없습니다. 두 나라의 관계와 그 동안의 행적을 통해 추측만 할 뿐이지 확정적으로 이렇다 할 것이 없습니다. 다만 콘니가 러시아 정부 기관과 외교 시설들에서 사용된 사례는 과거에도 있으며, 만약 그 당시 콘니가 제대로 작동했다면 북한이 러시아 내부의 정보를 꽤나 가져갔을 것으로 추정할 수 있습니다.”

밤베넥은 “외교적으로 우방국이라 할 수 있는 곳을 스파잉하는 사례는 역사적으로 셀 수 없이 많다”며 “올바르다거나 윤리적이라고 하긴 힘들지만 어떤 나라가 해도 이상하지 않은 일"이라고 지적한다. “혹시 우호 관계를 배신하지는 않을지, 더 우호적인 관계를 맺으려면 어떤 식으로 접근해야 하는지 등을 파악하기 위해 동맹국으로부터 첩보를 수집한다는 건 흔히 있는 일입니다. 북한의 의도가 어떤 것인지는 아직 다 알 수 없지만요.”

3줄 요약
1. 북한, 아무도 모르는 러시아 내부의 소프트웨어 해킹.
2. 그러고서는 콘니라는 자신들만의 독특한 정보 탈취형 소프트웨어 심음.
3. 북한의 최초 침투 방법과 의도는 확실히 알 수 없지만 동맹국 해킹은 생각보다 흔한 일.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)