베트남 추정 국가 지원 해킹그룹 SectorF01, 한국 노리나

입력 : 2019-07-25 16:37

특정 국가의 지원을 받는 해킹그룹 SectorF01...최신 산업기술 해킹 등 공격 범위와 목표 넓혀
NSHC, Red Alert 보고서 통해 SectorF01 공격수법 및 한국 관련 키워드 공개

[보안뉴스 원병철 기자] 베트남으로 추정되는 국가 차원의 지원을 받는 사이버 공격그룹 ‘SectorF01’의 최근 행적이 드러났다. 특히, 이 공격그룹은 기존 주요 공격처인 동아시아 국가를 넘어 최근에는 한국과 일본까지 공격하고 있으며, 단순한 공격을 넘어 최신 산업기술을 해킹하는 등 그 범위와 목표를 확대하고 있다. NSHC의 Red Alert팀은 25일 SectorF01에 대한 보고서 ‘The Growth of SectorF01 Group’s Cyber Espionage Activities’를 발표하고 이들이 사용한 침투 방식을 공개했다.


보고서에 따르면 NSHC가 ‘SectorF01’ 그룹이라고 이름 지은 해당 공격그룹은 베트남 정부의 지원을 받는 것으로 추정되며, 2013년경부터 남중국해 주변의 국가들을 대상으로 사이버 첩보 활동을 하고 있다. 특히, 2017년을 기점으로 이들의 사이버 첩보 활동이 크게 증가했는데, 주로 주변 국가들의 정부기관 및 외교, 군사, 연구기관 등에 대한 사이버 첩보 활동을 수행한다.

또한, 자국의 체제에 반하는 세력들에 대한 감시 활동도 수행한다. 최근에는 자국의 이익을 위한 다양한 산업 분야에 대한 사이버 첩보 활동을 수행하고 있다. 특히, 자동차 산업 분야에 대한 공격이 두드러지며, 동아시아의 일본과 한국으로 그 공격 대상을 확대해 나가고 있다.

공격방법 또한 스피어피싱 첨부파일 방식에서 최근에는 DLL SIDE-LOADING 기술을 애용하고 있는 것으로 조사됐다. ‘DLL Hijacking’, ‘DLL Preloading’, ‘DLL Planting(Binary Planting)’ 기법으로 불리기도 하는 이 공격 방식은 의도치 않은 DLL이 로드되는 취약점을 이용한 공격으로, SectorF01은 정상적인(legitimate) 파일과 악성코드 DLL 파일을 함께 배포하여 같은 경로에 위치하도록 설계한다. 정상적인 파일과 함께 악성코드 DLL 파일을 위치시키면 정상파일이 실행될 때 악성코드 DLL을 로드하게 되면서 악성 기능이 수행된다. 이는 행위기반의 탐지를 수행하는 엔드포인트 보안 솔루션으로부터 정상 프로그램에 의해 DLL 파일이 로드되는 것으로 인식되어 탐지를 우회하는 효과를 기대할 수 있다고 보고서는 설명했다.

특히, SectorF01 그룹은 마이크로소프트 윈도우 OS의 정상 파일들 및 유명 프로그램들의 정상 파일들을 악성코드 DLL 파일을 로드하는 용도로 함께 배포했다. 또한, 각종 안티 바이러스 소프트웨어(Anti-Virus Software)의 정상 파일들도 사용함으로써 보안 제품이 악성코드가 DLL 파일을 로드하게 하고 이를 통해 또 다른 보안 제품을 우회하는 모습을 보였다.

한편, SectorF01 그룹은 최근 일본의 자동차 기업을 공격한 것으로 파악됐는데, 이와 관련해 비슷한 시기에 한국의 한 자동차 기업과 관련된 것으로 의심되는 유사한 악성코드가 발견됐다. 보고서는 한국과 관련된 키워드가 발견됐다는 이유만으로 한국을 대상으로 공격을 펼쳤다고 확정할 수는 없지만, 이들이 한국과 관련된 주제를 공격에 활용했고 그것들 중에는 직접적 혹은 간접적으로 한국을 대상으로 진행된 공격이 포함될 수 있다고 설명했다.

NSHC Red Alert 팀은 보고서에서 “지난 7년간 동남아시아 지역에서 꾸준히 사이버 첩보 활동을 수행하고 있는 SectorF01 그룹을 추적해 그들의 초기 침투 방식에 대해 살펴봤다”고 설명하면서, “그들은 자국의 체제를 유지하기 위한 자국내 반대세력에 대한 해킹은 물론 주변 국가 해킹을 통해 자국의 이익을 도모하고 있다. 국가의 이익을 위한 국가 차원의 해킹에서 최근에는 자동차 산업 분야 등 선진 국가의 최신 기술을 해킹하여 자국 산업 발전에까지 기여하고자 하는 모습이 관찰되고 있다”고 강조했다.

아울러 이러한 그들의 공격 양상은 동아시아 지역까지 공격 범위가 확대되는 모습을 보이고 있으며, 이는 국가기관뿐만 아니라 일반 산업 분야까지 아울러 주변 국가들에 대한 매우 큰 위협이 되고 있다고 주장했다.

NSHC Red Alert 팀은 “SectorF01 그룹이 매년 공격에 사용한 악성코드가 크게 증가하고 있고, 이들에 대한 활동 범위가 점차 확대됨에 따라 우리는 더욱 그들을 이해하고 그들의 공격에 대비할 필요가 있다”면서, “꾸준한 위협 헌팅과 인텔리전스 활동을 통해 그들의 공격을 효과적으로 탐지하고 대응할 수 있도록 준비해야 한다”고 조언했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

원병철기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  [이슈칼럼] SKT 해킹 사건, 정보 유출보...

• 2

  [대한민국 상장기업 리포트-3] AI 통합보...

• 3

  명품 브랜드 디올, “해킹으로 고객 정보 유...

• 4

  [SKT 해킹 사태] SKT, “先조사결과,...

• 5

  엑스게이트 “SKT 사태로 VPN 문의 급증...

• 1

  AI 장착 초강력 ‘악성 봇’, 여행 산업 ...

• 2

  [이슈칼럼] SKT 해킹 사건, 정보 유출보...

• 3

  포티넷, QKD·PQC로 양자컴 위협 대응

• 4

  ‘KISA알림.pdf.lnk’ 뜨면, 클릭 ...

• 5

  20000000원...안랩, 산불 기부금 전...

• 1

  [이슈칼럼] SKT 유심 해킹 사건이 일깨운...

• 2

  삼성도 당했다...‘디지털 사이니지’ 해커 ...

• 3

  마이데이터 전송 이렇게...개인정보위, 개인...

• 4

  [배종찬의 보안 빅데이터] ‘유심 해킹’ S...

• 5

  [2025 개인정보보호 솔루션 리포트] SK...