Home > 전체기사
‘스피어피싱의 왕’ 김수키 그룹, 알게 모르게 실수도 잦아
  |  입력 : 2020-03-11 20:44
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
한국의 김재기, 곽경주, 장민창 연구원이 수년 동안 추적...김수키의 취약점 발견
코드 재사용, 아래아한글의 무기화, C&C 서버 재사용, 크리덴셜 관리 부족 등


[보안뉴스 문가용 기자] 바이러스 백신 프로그램 검증 및 랭킹 사이트인 바이러스 불레틴(Virus Bulletin)에, 북한의 김수키 해킹 그룹에 대한 내용이 ‘스피어피싱의 왕’이라는 제목으로 공개됐다. 우리나라 금융보안원에 소속된 김재기, 곽경주, 장민창 연구원들이 수년 동안 추적해낸 결과물이다.

[이미지 = iclickart]


먼저 김수키(Kimsuky)는 2014년 한수원 공격을 감행하며 보안 업계에 이름을 알리기 시작한 북한의 공격 단체다. 이들은 ‘아래아한글’로 만들어진 악성 문서를 통해 공격을 실시했으며, 한수원 이후 여러 한국 정부 기관들을 침투해왔다. 전부 아래아한글 소프트웨어에 있는 취약점을 활용해 멀웨어를 심고자 하는 ‘스피어피싱’ 형태의 공격이었다. 보다 최근인 2019년 1월에는 통일부 출입 기자들을 노린 스피어피싱 공격을 감행하기도 했다.

김재기, 곽경주, 장민창 연구원은 보고서를 통해 “김수키 그룹을 추적하며 메일 전송 도구와 각종 멀웨어를 획득하는 데 성공했다”며 “이들이 사용하는 도구는 크게 서버 사이드 툴킷과 멀웨어로 분류할 수 있다”고 설명했다. 서버 사이드 툴킷은 “메일러, 비커너(beaconer), 피셔(phisher), 로거(logger)로 분류된다”고 한다. 멀웨어는 “드로퍼(dropper), 스크립트(script), 인포스틸러(infostealer)로 나뉜다.”

“메일을 보내는 데 사용되는 툴킷은(메일 전송 도구) 여러 공격에 반복적으로 사용됐습니다. 또한 피싱 페이지를 만들 때 공격자들은 원래 사이트의 소스코드를 재사용하되 URL에서 특정 아규먼트를 사용하는 모습을 보여줬습니다. 멀웨어의 경우, 드로퍼는 악성 한글파일 내에 숨겨져 있을 때가 많고, 악성 스크립트는 추가 멀웨어를 C&C로부터 받아 설치하는 역할을 하며, 인포스틸러는 이름 그대로 정보를 탈취하고 추가 멀웨어를 설치하는 것으로 분석됐습니다.”

그 외에 비커너는 메일이 열람되고 있는지 확인하는 기능을 가지고 있으며, 피셔는 계정 탈취를 위한 피싱 페이지 제작 시에 사용되는 것으로 연구원들은 밝혔다. 로거는 피해자의 정보를 로깅하는 역할을 하고 있다.

김수키 그룹은 ‘종전선언’, ‘일일 일본 동향’과 같은 제목의 HWP 문서를 미끼로 사용함으로써 많은 피해자들의 ‘클릭’을 유도해 냈다고 하며, 여러 캠페인에 사용된 인포스틸러 멀웨어의 경우 FTP를 사용해 추가 멀웨어를 다운로드 하기도 했다. 원래는 SFX 파일인데 HWP인 것처럼 위장된 경우도 있었다. FTP를 활용하는 공격의 경우 김수키 그룹은 호스팅어(Hostinger)라는 호스팅 업체의 무료 서비스를 사용해 C&C 서버를 구축했는데, 계정 이름과 비밀번호가 노출되는 바람에 연구원들이 깊은 분석을 이어갈 수 있었다고 한다.

그 외에도 연구원들은 김수키 그룹이 사용한 툴셋과 C&C 서버의 관계를 분석하기도 했다. 예를 들어 gyjmc.com이라는 도메인에는 메일러, 비커너, 피셔, 로거 등이 호스팅 되어 있었고, C&C 서버는 daum-settings.hol.es, member-authorize.com, snu-mail-ac-kr.esy.es, uefa2018.000webhostapp.com 등에 마련되어 있는 것으로 분석됐다. 이 중 member-authorize.com는 또 다시 ddlovke.kr과 연결되어 있었고, 이는 다시 military.co.kr에 마련된 C&C 서버와도 연결되어 있었다. 몇 가지 C&C 서버가 계속해서 재사용되고 있음이 파악되었다.

흥미로운 건 김수키 그룹이 사이버 공작을 실시하면서 여러 가지 실수를 저질렀고, 이 실수를 파악한 연구원들이 사실상 해킹과 같은 방법을 사용해 이들을 추적해왔다는 것이다. “김수키 그룹은 코드와 C&C 서버를 재사용해왔고, FTP 계정의 비밀번호를 평문으로 저장해두기도 했습니다. 디렉토리 목록을 노출시키기도 했지요. 이 때문에 추적과 조사를 보다 용이하게 할 수 있었습니다.”

보다 상세한 기술 정보는 바이러스 불레틴 웹사이트(https://www.virusbulletin.com/virusbulletin/2020/03/vb2019-paper-kimsuky-group-tracking-king-spearphishing/)를 통해 열람이 가능하다.

연구원들은 “남북한의 특수한 상황이 지속되는 한 김수키 그룹은 이전에 했던 악성 사이버 작전들을 계속해서 펼칠 것”으로 예상하고 있으며, “계속해서 그래왔던 것처럼 악성 아래아한글 문서와 이메일 계정 탈취 공격을 앞으로도 사용할 것으로 보인다”고 결론을 내리고 있다. 하지만 “이들 역시 작전 수행 중 실수를 하고 있으며, 이를 통해 역추적을 허용한다”며 “이를 통해 꽤나 중요한 정보들을 취득할 수 있다”고 귀띔을 하기도 했다.

“이러한 정보(그들이 실수로 노출시킨 정보)를 통해 다음 공격은 어떤 방식으로, 어디서 이어질 것인지, 어떤 전략을 주로 사용하며, 앞으로 어떻게 바뀔지, 이전 공격과 비교했을 때 어떤 침해지표가 발생하는지 등을 유추할 수 있습니다. 이번 연구 보고서가 김수키 그룹의 공격을 방어하는 데 효과적으로 활용되기를 바랍니다.”

3줄 요약
1. 한국의 정보 끊임없이 탈취해가는 ‘스피어 피싱 공격의 왕’, 김수키 그룹.
2. 공격 중 남긴 취약점 통해 ‘역해킹’하니, 코드와 C&C 재사용, 크리덴셜 관리 미흡 등의 취약점 발견됨.
3. 이런 식으로 공격자에 대한 정보 모아지면 방어하는 데에 더 효과적.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)