보안뉴스 창간 15주년을 축하합니다!!

Home > 전체기사

북한추정 해커조직이 수행한 사이버첩보전의 실체

  |  입력 : 2013-09-12 09:49
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
국방·외교·통일 고위관료 등 수백명 타깃...한글 취약점 주로 이용
북한 폰트 ‘청봉체’ 사용 등 근거 여럿...탐지 어려운 이메일C&C 활용

해커조직 추적해온 최상명 팀장 “공론화해서 대응방안 모색할 것” 


[보안뉴스 권 준] 지난 2011년부터 3년간 국가 주요 정부부처 및 연구기관 등을 대상으로 정보수집 등 사이버첩보 활동을 수행한 북한 추정 해커조직의 활동이 공개돼 큰 파장이 예상된다.


3.20 및 6.25 사이버테러 조직의 실체를 처음 밝혀내는 등 북한으로 추정되는 해커조직이 유포한 악성코드를 꾸준히 추적·분석해온 최상명 하우리 선행연구팀장은 “3년간 약 수백 명이 대상이 돼 정보수집 악성코드 공격을 받은 것으로 추정되며, 일부 실제 감염된 대상으로부터 기밀정보들이 외부로 유출됐다”고 밝혔다.

이는 북한으로 추정되는 사이버전 조직들이 7.7 및 3.4 디도스 대란과 3.20 및 6.25 사이버테러 등 국내 사회를 혼란시킬 목적으로 대규모 사이버테러를 일으키는 것과 동시에 국방, 통일, 외교 분야 등의 고위공직자나 유관기관 원장 등 관련 정보를 많이 보유하고 있는 대상을 타깃으로 지속적으로 사이버첩보전을 실행해 왔다는 것이 드러난 셈이다.


최 팀장에 따르면 해당 조직이 공격대상으로 삼은 곳은 △국방·외교·통일관련 정부부처 △국방·외교·통일관련 연구기관 전·현직 원장 대상 △국방·외교·통일관련 연구기관 연구원 △전·현직 외교관 및 해외주재국 대사 △예비역 장성 △장관 후보자 △국방, 외교, 통일 관련 자문위원에 속한 교수 △탈북자관련 단체 및 탈북자 등이다.


이들 조직은 타깃으로 삼은 대상에게 정보수집을 위한 악성코드를 감염시키기 위해 주로 한글문서 취약점을 이용해 이메일로 한글문서를 첨부파일 형태로 전달했으며, 대부분 감염 당시 패치가 존재하지 않는 제로데이 취약점을 이용했던 것으로 알려졌다.


특히, 각각의 타깃에 따른 맞춤형 이메일로 발송됐는데, 국방 관련자에게는 국방관련 행사 초청 내용 등으로, 연구기관 등에는 관련 연구논문 및 연구주제 등의 내용으로 전달돼 첨부파일을 읽도록 유도했다. 또한, 해외주재국의 대사들에게는 해당 국가의 지역 및 주제에 대한 내용으로 한글문서를 전달하는 등 악성코드 감염을 유도하기 위한 지능적인 방법을 사용했다.


해당 조직은 악성코드에 감염된 대상을 제어하기 위해 C&C(명령제어) 프로토콜로 이메일을 사용했던 것으로 분석됐다. 이메일 프로토콜을 사용할 경우 정상적인 이메일 트래픽과 구분이 어려워 네트워크 탐지 장비를 우회할 수 있으며, 특히 SSL과 같은 암호화 보안 프로토콜을 사용할 경우 탐지가 더욱 어렵다.


이를 바탕으로 이메일의 제목과 첨부파일을 통해 명령을 전달하거나 추가적인 악성코드를 전달했으며, 첨부파일을 통해 수집한 각종 기밀정보를 외부로 유출한 것으로 드러났다.


해당 조직이 악성코드를 통해 수행한 사이버첩보 활동은 △현재 작업화면 캡쳐 △키로깅 △각종 웹 브라우저에 저장된 계정 정보 수집 △하드디스크에 있는 파일목록 수집 △한글문서를 포함한 각종 문서 파일 수집 △추가 악성코드 다운로드 및 실행 등이다.


이들 조직이 북한으로 추정되는 이유에 대해 최상명 팀장은 악성코드에 사용된 암호화 기법 등이 기존에 북한 소행으로 알려진 악성코드들과 상당부분 유사하며, 개발 경로 및 이메일 프로토콜 등에 한글이 사용되는 등 한글 환경에 능숙한 점, 그리고 일부 문서에 포함된 북한 폰트인 ‘청봉체’ 등을 꼽았다.


또한, 이메일 C&C를 통해 명령을 제어하는 해커조직의 관리자 IP가 국내에서 북한의 김정일 일가를 찬양하는 게시글을 올린 IP와 일치하는 등 해커조직의 IP 대역이 주로 대남 사이버전 수행거점을 설치하고, 정보를 수집하고 있는 것으로 알려진 북한 정찰총국이 위치한 중국 동북3성(랴오닝성, 지린성, 헤이룬장성) 등에 위치하고 있다는 점이 해당 조직을 북한으로 추정하는 또 다른 이유이다.

이와 관련 하우리 선행연구팀 최상명 팀장은 “수년 전부터 북한으로 추정되는 여러 해커조직들을 계속 추적하고 있었다”며, “이미 오래 전부터 북한으로 추정되는 해커조직들이 국내를 대상으로 사이버첩보 활동을 수행하고 있는 상황에서 이제는 더 이상 비공개로 숨길 문제는 아니라고 봤다. 공론화해서 효과적으로 대응할 수 있는 방안을 찾는 데 주력하겠다”고 밝혔다.

[권 준 기자(editor@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

Sung Ki Park 2013.09.13 09:37

"정말 좋은 기사입니다.
사이버전에 대한 경각심을 모두 가져야 하며, 이것은 특정 대상이 없습니다.
거짓말을 베껴고 완전 좌편향 골수 성향으로만 생각하여 오보 기사를 쓰는
모 기자와는 확연히 차이가 나는 기사입니다.
이런 기사를 보고 배워야할텐데요.
그 기자에게는 오보왕 기자상이라도 주고 싶은 마음입니다..ㅎㅎ"


  •  SNS에서도 보안뉴스를 받아보세요!! 
2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
지난 5일 밤 발생한 카카오톡 장애로 인해 일명 ‘넷플릭스법’에 대한 관심이 다시금 높아지고 있는데요. 통신서비스 품질 유지 의무를 부과하고 있는 기업 가운데 가장 안정적인 서비스를 제공하는 부가통신사업자는 어디라고 생각하시나요?
네이버
카카오
웨이브
넷플릭스
구글
페이스북