세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
빗썸 해킹 사건의 배후, 북한의 라자루스가 가장 유력
  |  입력 : 2018-06-26 11:45
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
해당 사건에서 HWP 파일 발견...여러 거래소로 발송된 멀웨어
해외 보안 전문 기업, “북한이 남한 공격하면 효과가 2배”


[보안뉴스 문가용 기자] 북한의 해킹 단체인 라자루스 그룹(Lazarus Group)이 악성 문건을 통한 공격으로 다시 한 번 한국에 피해를 입혔다. 보안 업체 에얼리언볼트(AlientVault)와 한국의 보안 전문가들이 함께 연구한 바에 의하면 라자루스 그룹이 실시한 공격의 최종 페이로드는 매뉴스크립트(Manuscrypt)라는 멀웨어라고 한다.

[이미지 = iclickart]


라자루스 그룹의 악성 문서를 제일 먼저 발견한 건 한국의 전문가들로, 이 문건은 G20 국제금융체제 실무그룹회의(G20 International Financial Architecture Working Group Meeting)와 관련된 것처럼 위장되어 있으며, 해당 회의 참석자들에게 발송되는 메일인 것처럼 보인다. 또 다른 악성 문건은 최근 빗썸에서 발생한 3천 1백 5십만 달러 암호화폐 도난 사건과 관련이 있는 것으로 의심된다.

이 두 가지 문서 모두 HWP로 만들어졌으며, 매뉴스크립트 멀웨어를 다운로드 받게 하는 악성 코드를 포함하고 있다. 에얼리언볼트에 의하면 매뉴스크립트는 한국의 포럼 소프트웨어를 흉내 내는 방식으로 통신한다고 한다.

또 다른 보안 업체 맥아피(McAfee)의 경우 라자루스 그룹을 히든 코브라(Hidden Cobra)라고 부르며, 매뉴스크립트를 뱅크샷(Bankshot)이라고 부른다. 이름이야 어찌됐든 매뉴스크립트의 주요 기능은 공격을 가한 네트워크 내에서 오랜 시간 머물며 익스플로잇을 지속시키는 것이라고 한다. 터키의 금융권을 겨냥한 지난 3월 공격에서 발견된 바 있다. 맥아피는 “여기에 더해 시스템에 대한 완전 접근과 콘텐츠 삭제 기능도 가지고 있다”고 설명한다.

라자루스 그룹이 매뉴스크립트를 사용한다는 보고는 이번에 처음 나온 것이 아니다. 또한 이들은 국제 은행 간 통신 시스템인 SWIFT를 공격한 전적이 있는 것으로 알려져 있다. 초기 매뉴스크립트 멀웨어는 SWIFT와 관련이 있는 특정 호스트들을 검색하는 기능을 가지고 있기도 했다. 네임드파이프(NamedPipe)라는 파일 공유 기능을 사용해 분리된 내부 네트워크에서 데이터를 찾아내고, C&C 서버로 전송했던 것.

빗썸 암호화폐 도난 사건과의 연관성
최근 빗썸 암호화폐 거래소에서 3천 1백 5십만 달러의 돈이 사라졌는데, 상당 수 전문가들에 의하면 이는 라자루스 그룹의 소행인 것으로 보인다. 공격은 지난 달과 이번 달, 악성 HWP 파일들로부터 시작했다고 분석되고 있으며, KBS는 해당 멀웨어 샘플이 또 다른 암호화폐 거래소들로도 전송됐다고 보도했다. 에얼리언볼트 또한 라자루스가 여러 암호화폐 거래소를 노렸을 가능성이 높다고 말한다.

올해 초 라자루스 그룹은 악성 HWP 문서를 한국의 암호화페 거래소들로 대량 보낸 전적이 있다. 당시는 여러 개의 피싱 도메인들이 활용됐다. 이 도메인들의 등록자 정보 중 전화번호가 모두 일치했다. 라자루스 그룹이 멀웨어 전파는 물론 주요 크리덴셜을 탈취하려는 것처럼 보였다.

에얼리언볼트는 “라자루스 그룹이 도메인을 등록하는 건 매우 드문 일”이라고 말하며, “일반적으로는 정상적인 웹사이트를 침해하는 게 이들의 수법”이라고 설명한다. 매우 드문 형태의 공격을 실행했다는 것으로, “정말 라자루스라면 예외적인 기록이 될 것”이라고 분석했다.

라자루스가 빗썸을 턴 것이라면
빗썸 공격의 배후에 정말로 라자루스 그룹이 있는 거라면, 여러 가지 사건을 라자루스에 연결시키는 게 가능하다. 특히 작년에 한국 암호화폐 거래소를 중심으로 발생한 여러 탈취 사건이 여기에 포함된다. 한국 외에도 라자루스는 이미 방글라데시중앙은행에서 10억 달러를 턴 것으로 의심받고 있으며, 워너크라이(WannaCry) 사태와 소니 픽처스 해킹 공격의 배후 세력인 것이 정설화 된 상태다.

보다 최근에는 칠레 은행으로부터 1천만 달러를 훔쳤고, 그 과정에서 장비 수천 대를 고장냈다. 에얼리언볼트는 “한국의 조직들을 공격할 경우 북한이 가져가는 이득은 ‘가장 가까운 경쟁자의 약화’까지 유발하므로 두 배가 된다”며 “항상 경계를 늦추지 말아야 한다”고 권고했다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 2
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
7월은 정보보호의 달, 7월 둘째 주 수요일은 정보보호의 날로 지정된 상태입니다. 정보보호의 달과 날짜가 특정되지 않은 ‘정보보호의 날’의 변경 필요성에 대해서는 어떤 견해를 갖고 계신지요?
정보보호의 날(달) 모두 현행 유지
정보보호의 달은 현행대로, 정보보호의 날은 7월 7일로
1.25 인터넷대란, 카드사 사태 발생한 1월, 정보보호의 달(날)로
매월 매일이 정보보호의 달(날), 기념일 폐지해야
기타(댓글로)