보안뉴스 창간 17주년을 축하합니다!!

北 , 국내 반도체 기업 해킹으로 설계도면과 현장사진 훔쳐갔다

입력 : 2024-03-04 15:51
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
北 해킹조직, 국내 반도체 장비업체 대상 ‘해킹’...설계도면·현장사진 등 탈취
인터넷에 연결된 서버 취약점 노리고 집중 타깃...서버내 설치된 정상프로그램 악용
국정원, 피해 업체에 사실 통보 및 보안대책 수립 지원...주요 업체에도 위협정보 제공


[보안뉴스 김경애 기자] 국내 반도체 장비업체를 노린 북한의 사이버 공격이 포착되고 있어 반도체 기업 및 관련기관의 주의가 요구된다.

[이미지 = gettyimagesbank]


국가정보원(이하 국정원) 측은 “지난해 하반기부터 최근까지 북한이 사이버 공격에 집중하고 있는 사실을 포착했다”며 주의를 당부했다.

북한 해킹조직은 서버가 인터넷에 연결되어 취약점이 노출된 업체들을 공략했다. 문서 등 자료관리에 사용되는 해당 업체의 업무용 서버들이 해커의 표적이 되었다.

이들은 ‘악성코드’ 사용을 최소화하고, 서버 내 설치된 정상 프로그램을 활용해 공격하는 ‘LotL(Living off the Land)’ 기법을 주로 구사했다. 이 방식은 공격자가 눈에 잘 띄지 않아 보안 도구로도 탐지가 쉽지 않다.

이와 관련 스텔스모어 인텔리전스 최상명 CTO는 “북한 해커조직들은 2018년경부터 ‘LOTL(Living Off The Land)’ 기법을 조금씩 사용하기 시작했으며, 최근 들어서는 공격들 중 상당수가 이 기법을 통해 감행되고 있다”며 “기존의 악성코드 공격과는 다르게 파일을 사용하지 않거나 정상 프로그램들을 활용하기 때문에 탐지가 매우 어려운 점이 골치”라고 밝혔다.

이어 최상명 CTO는 “이에 피해를 입는 조직들이 많아지자 올해 2월에는 미국 정부와 영국 정부 등에서 LOTL 공격 기법에 대응하기 위한 권고문을 발표했다”며 “이를 참고해 조직 내 보안을 강화해야 한다”고 권장했다.

지난해 12월 A사와 올해 2월 B사는 각각 형상관리 서버와 보안정책 서버를 해킹당해 제품 설계도면과 설비 현장사진 등이 탈취됐다. 특히 반도체 설계도면과 현장사진이 탈취됐다는 점에서 북한이 반도체 자체 생산을 염두에 두고 탈취했을 가능성에도 관심이 모아지고 있다.

국정원도 이러한 해킹 동향과 관련, 북한이 대북제재로 인한 반도체 조달 어려움과 위성·미사일 등 무기 개발에 따른 수요 증가로 반도체 자체 생산 준비에 나섰을 가능성이 있다고 보고 있다.

국정원 관계자는 “대북재제로 인한 북한의 어려움이 지속되면서 반도체 수급의 어려움이 있었을 것으로 보인다”며 “반도체 자체 생산 가능성도 있을 수 있다”고 말했다.

이에 따라 국정원은 해킹 피해업체에 관련 사실을 통보하고 보안대책 수립을 지원했다. 또한 추가 피해 방지를 위해 국내 주요 반도체 업체에도 위협정보를 제공해 자체 보안점검을 강화하도록 조치했다.

국정원 관계자는 “인터넷 노출 서버 대상 보안 업데이트와 접근 제어를 실시하고, 정기적인 관리자 인증강화 등 계정관리에 만전을 기해야 한다”고 당부했다.

스틸리언 신동휘 CTO는 “자산이 저장된 기기들이 인터넷에 연결되어 있다면 해당 기기들의 보안성을 신중히게 고려해야한다”며 “나아가 조직의 규모가 커지면서 어떤 기기들이 인터넷에 연결되는지 관리하고 모니터링해야 한다”고 강조했다.

이어 신동휘 CTO는 “공격자는 공격을 위해 Attack Surface의 존재 여부를 먼저 확인하는 만큼 Attack Surface를 적절히 관리하는 것만으로도 공격의 시작을 차단할 수 있다”며 “공격자들은 과거보다 고가치 정보를 수집하고자 노력하는 추세이므로 국가 기반 산업, 경제에 지대한 영향을 미치는 산업의 보안성 강화를 위해 노력해야 한다”고 당부했다.

이와 함께 최근 북한의 사이버 공격은 ‘컴파일된 HTML 도움말 파일(.chm)’과 ‘바로가기(.lnk)’를 이용한 공격도 탐지되고 있다. 따라서 기업과 기관은 이러한 보안위협에 대한 철저한 대비가 요구된다.

익명을 요청한 보안전문가는 “최근 북한의 사이버공격 양상을 보면 기존의 워드파일을 이용한 공격은 많이 알려져 감소 추세인 반면, 상대적으로 덜 알려진 공격 수법인 ‘컴파일된 HTML 도움말 파일(.chm)’과 ‘바로가기(.lnk)’를 많이 이용하고 있다”며 “이러한 파일 형식을 악용한 공격에 대응해 EDR 솔루션 탐지 등으로 보안을 강화할 것”을 당부했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)