Home > 전체기사

[이슈분석] 北 김수키의 서울대병원 해킹, 카이스트 공격과의 연관성 어떻게 확인했나

  |  입력 : 2021-07-15 15:16
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
김수키가 사용한 IP와 도메인 연결하면 ‘서울대병원-카이스트-CISA 지목 도메인’ 확인 가능

[보안뉴스 원병철 기자] 서울대병원을 노린 공격이 북한 추정 해커조직 김수키(Kimsuky)가 사용하던 IP와 도메인 주소를 이용해 벌어졌으며, 이는 지난 10월 발생(알려진 것은 12월)한 카이스트(KAIST) 공격에 사용된 IP와 도메인과 연관성이 있는 것으로 확인됐다.

▲이슈메이커스랩의 김수키 공격 IP 이력 분석 결과[자료=하태경 의원실]


우선, 연관성을 확인하기 위해서는 IP 주소와 도메인의 관계를 이해해야 한다. 인터넷에 연결하기 위해 부여되는 IP 주소는 총 12개의 숫자로 이뤄져 있다. 예를 들면, ‘123.456.789.123’ 이런 식이다. 그리고 도메인(Domain) 주소는 이 IP 주소를 영문으로 바꿔준 것을 말한다. 즉, 보안뉴스의 IP 주소가 ‘123.456.789.123’이라면 도메인 주소는 ‘boannews[.]com’이 된다. 다만 IP주소는 필요에 따라 여러 개의 도메인 주소를 갖고 있을 수 있으며, 또한 도메인 주소 역시 필요에 따라 다른 IP에 할당할 수 있다. 즉, 1.222.OOO.OOO IP 주소에 ‘boannews[.]com’ 말고도 ‘securityworld[.]com’과 같은 도메인을 설정할 수 있으며, ‘boannews[.]com’ 역시 ‘123.123.OOO.OOO’과 같은 다른 IP 주소에 연결될 수 있다는 말이다.

서울대병원과 카이스트 공격 연관성 확인
이번 서울대학교병원 공격에 사용된 IP는 총 3개(△31.172.80.100 △210.16.120.251 △27.102.112.44)이며, 각 IP에는 여러 개의 도메인이 할당되어 있다. 그리고 지난 2020년 11월 발생한 카이스트 공격에 사용된 IP는 5개(△185.224.138.29 △185.224.137.164 △143.248.155.65 △185.224.138.29 △216.189.159.36)다.

물론 이 8개의 IP는 서로 다르다. 하지만 이 IP에 할당된 도메인을 살펴보면 연관성이 보인다. 우선, 서울대학교 병원을 공격한 IP 210.16.120.251에 할당된 도메인에는 ‘app.gommi.ml’이라는 도메인 주소(2021년 6월 30일 할당)가 있다. 그런데 이 도메인은 2020년 10월 카이스트 공격에 사용된 IP 216.189.159.36에 2020년 11월 16일 할당된 적이 있다. 이는 이번 서울대학교병원 해킹과 카이스트 해킹에 사용된 IP와 도메인이 서로 연관성이 있다는 것을 증명하는 것이다.

▲서울대병원 해킹 IP 및 도메인과 카이스트 해킹 IP 및 도메인의 연관성[자료=보안뉴스]


더욱이 카이스트 해킹에 사용된 IP 216.189.159.36의 도메인 중 ‘love.krnc.ga’는 IP 27.102.107.221에 2020년 8월 등록된 적이 있는데, 이 IP에 등록된 도메인 ‘jonga.mi’나 ‘nid.naver.onektx.com’ 등은 미국 CISA가 2020년 11월 북한 김수키의 공격에 사용된 도메인이라고 발표한 적이 있는 도메인이다. 이로써 이번 서울대학교병원 해킹과 김수키와의 연관성이 확인된 것이다.

▲카이스트 해킹 IP 및 도메인과 미국 CISA가 공개한 김수키 사용 IP와 도메인의 연관성[자료=보안뉴스]


이렇게 IP와 도메인을 추적하다보면 그동안 김수키가 어떻게 공격을 해왔는지 알 수 있다. 실제로 앞서 언급한 ‘app.gommi.ml’ 도메인을 추적해 IP 104.128.239.70을 살펴보면, ‘snub(서울대학교 병원 약자)’를 사칭한 도메인을 3개(△mail.snubh.r-e.kr △smtp.snu-h.ml △mail.snuh.r-e.kr)나 찾아볼 수 있다. 특히 메일서버 도메인을 사칭한 것으로 보아 병원 관계자를 노린 것이 아닌지 의심된다.

특히 5월에는 서울대병원뿐만 아니라 여러 건의 공격이 진행됐음을 알 수 있다. IP 104.128.239.70 도메인을 살펴보면, △한국국방연구원(KIDA)을 사칭한 ‘ms.kiida.cf’ △이화여자대학교(ewha)를 사칭한 ‘mail.ewah-ac.ml’ △네이트온을 사칭한 ‘bo.nate-on.ml’ 등의 도메인이 확인된다. 또한, IP 216.189.159.36의 2020년 10월 도메인을 살펴보면, △한국항공우주연구원(kari)을 사칭한 ‘webmail.kari.gq’와 △비영리센터 ‘한국NVC센터’를 사칭한 ‘love-krnvc.ga’, ‘krnvc.ga’ △다음을 사칭한 ‘logins.daumi.club’ 등도 확인할 수 있다.

한편, 하태경 의원은 15일 서울대병원은 지난 6월 11일 외부 침입이 이뤄졌으며, 유휴서버 1대와 업무용 PC 62대가 해킹되어 환자 정보 6,969건이 유출됐다고 밝혔다. 아울러 당초 서울대병원이 밝힌 것과 달리 진단명과 방문기록, 검사명과 검사결과, 의학사진 등 민감한 의료 정보도 포함됐다고 지적했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)