Home > 전체기사 > 기획특집
2010년 이후 국내 방위산업체 노린 공격 급증...4개 해커조직 활동
  |  입력 : 2017-07-03 19:30
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
2010년 이후 4개 그룹 활동...동일 그룹 혹은 협력 그룹 가능성 있어
한국어로 된 프로그램 발견...어색한 한글 사용 확인
안랩, ‘국내 방위산업체 공격 동향 보고서’ 발표


[보안뉴스 원병철 기자] ‘국내 방위산업체 공격 동향 보고서’가 발표됐다. 이번 보고서를 발표한 안랩은 2010년부터 본격화된 국내외 방위산업체에 대한 공격은 지금까지도 꾸준하게 지속되고 있다며, 방위산업체는 단순 산업분야를 넘어 국가 안보와 밀접한 것은 물론 경쟁국가에서 이들 정보를 노릴 가능성도 높다고 설명했다.

▲ 주요 국내 방위산업체 공격과 공격 그룹[자료=안랩]


2010년 이후 국내에서는 4개 이상의 공격 그룹이 활동한 것으로 확인된다. 또한, 일부 그룹에서 사용된 악성코드와 공격에 활용된 프로그램에서 한글이 사용된 것으로 드러나 공격자 중에는 한국어 사용자도 존재할 것으로 추정된다고 안랩 측은 밝혔다.

주요 공격 그룹 중 하나인 아이스포그(Icefog) 그룹은 적어도 2011년부터 시작해 2013년 10월까지 활동한 것으로 확인된다. 현재는 확인되지 않지만 악성코드를 변경해서 활동할 가능성도 있다. 레드 닷(Red Dot) 그룹은 2014년 6월부터 2016년 말까지 활동했으며 이스캐드(Escad) 악성코드를 공격에 사용한다. 하지만 초기 버전으로 보이는 악성코드는 2013년에 발견됐다. 특히, 이 그룹은 2014년 11월 미국 영화사 공격에도 연관된 것으로 보인다. 2016년에는 방위산업체뿐만 아니라 다른 국내 기업에 대한 공격도 진행했다.

2015년 등장한 고스트 라이플(Ghost Rifle) 그룹은 라이프도어(Rifdoor)와 고스트랫(Ghostrat) 악성코드를 주로 사용한다. 고스트 라이플 그룹은 레드 닷 그룹과 함께 2015년 국내 방위산업체 관련 컨퍼런스 참가 업체를 타깃으로 공격을 가했다. 또한, 이 그룹은 2016년 초 보안업체 공격과 대기업 해킹에도 연루된 것으로 알려졌다. 2016년 초 등장한 어나니머스 팬텀(Anonymous Phantom) 그룹은 2016년 가을 이후 활동이 뜸하다가 2017년 초 에너지 관련 연구소 등을 공격한 것이 확인됐다.

레드 닷 작전(Operation Red Dot)에서 사용된 이스캐드 악성코드는 세계 여러 곳에 C&C 서버가 존재하는 것으로 확인됐다. 한편, 2015년부터 2016년까지 발견된 라이프도어 악성코드와 2016년 초부터 활동을 시작한 팬도어(Phandoor) 악성코드의 C&C 서버는 대부분 한국에 위치했으며, 국내 대학교 시스템을 주로 이용하고 있었다.

방위산업체 해킹, 어떤 공격 방식 사용했나
방위산업체 공격 사례를 분석한 결과, 공격 방식은 크게 스피어피싱(Spear Phishing) 이메일, 워터링 홀(Watering-hole), 중앙 관리 시스템 등 세 가지로 나뉜다. 주로 이메일을 통한 악성코드 유포와 워터링 홀 공격 방식을 사용했으며, 국내 업체 공격의 경우 중앙관리 시스템을 해킹해 악성코드를 유포했다. 이 외에도 보안 프로그램, 액티브엑스(Active-X) 취약점을 이용한 공격도 알려져 있다.

△ 스피어피싱(Spear Phishing) 이메일
공격자는 메일 수신자의 정보를 미리 파악해 메일에 첨부된 파일을 열어보거나 본문 내용에 포함된 링크를 누르도록 유도한다. 메일의 내용은 주로 업무나 사회적으로 관심을 끄는 내용이다. 일반적으로 워드, 엑셀, PDF 등의 문서를 변조하여 취약점이 존재하는 프로그램에서 해당 문서를 열어볼 경우 악성코드가 실행될 수 있는 방법을 사용한다. 문서로 위장한 실행 파일을 첨부하기도 하는데, 위장 파일 형식으로는 EXE, LNK 파일이 대표적이다.

△ 워터링 홀(Watering-hole)
워터링 홀(Watering-hole)은 공격자가 특정 웹사이트를 해킹해 취약점 공격 코드를 숨겨두고 사용자가 취약한 웹 브라우저로 접속할 경우 악성코드에 감염시키는 공격 방식이다. 공격자는 자신이 원하는 공격 대상이 자주 방문할만한 사이트를 해킹한다. 일부의 경우에는 특정 IP 주소에서 접속한 경우에만 악성코드에 감염되게 함으로써 더욱 한정된 대상만을 공격해 발견을 어렵게 한다.

△ 중앙관리 시스템 해킹
2016년 국내 보안업체와 대기업 해킹 건은 모두 중앙 관리 시스템을 해킹해 시스템에 연결된 컴퓨터에 악성코드를 배포하는 방식을 사용했다. 일반적으로 회사에서 사용하는 컴퓨터가 관리를 위해 특정 관리 시스템에 연결되어 있는 점을 노린 것이다. 공격자는 주로 목표 대상 업체에서 사용하는 프로그램을 미리 분석한 후 해당 프로그램의 취약점을 노려 공격에 이용하고 있다.

국내 방위산업체 공격 시도와 방식
실제 국내 방위산업체 공격 사례를 중심으로 공격을 시도한 그룹에서 사용한 악성코드와 공격 방식에 대해 살펴보면 다음과 같다.

△ 아이스포그(Icefog) 공격 그룹
아이스포그(Icefog) 그룹은 2011년부터 공격을 시작했으며, 한국과 일본의 정부 기관 및 방위산업체가 주요 공격 대상이었다. 마이크로소프트 오피스, 자바, HLP 취약점 등이 공격에 이용됐으며 국내 공격 대상에는 한글 프로그램 취약점도 악용됐다. 또한, 공격에 사용된 악성코드 중에는 윈도우 악성코드뿐만 아니라 맥 악성코드도 존재한다. 국내 업체에서는 해당 악성코드로 인해 자료가 유출된 정황도 확인됐다.

▲ 레드 닷 작전에 사용된 스피어피싱 메일[자료=안랩]


△ 오퍼레이션 레드 닷(Operation Red Dot)
오퍼레이션 레드 닷은 2014년 봄부터 2017년 2월까지 계속 공격 활동을 지속했으며, 2014년 말 미국 영화사 해킹과도 연계된 것으로 보인다. 안랩은 레드 닷 작전에서 사용된 100여 개의 관련 이스캐드 악성코드 변형을 발견했으며, 초기 버전으로 추정되는 변형은 2013년부터 발견됐다고 밝혔다. 2014년부터는 미국 영화사뿐만 아니라 대북 사이트, 방위 산업체 등에 대한 공격도 확인됐다. 발견된 변형 사이에는 코드 유사성을 포함해 파일명에도 상당한 공통점이 존재했다.

국내 기관에 대한 공격은 2014년 11월 미국 영화사 해킹 이후 2015년 봄부터 확인됐다. 국내 방위산업체에 대한 공격이 본격화된 것은 2015년 10월 ‘항공 관련 학회’를 사칭한 스피어피싱 이메일을 통한 공격부터였다.

△ 고스트 라이플 작전(Operation Ghost Rifle)
오퍼레이션 고스트 라이플을 진행한 공격 그룹은 주로 방위산업체를 노렸다. 대표적으로 2016년 초 국내 보안업체, 2016년 6월 대기업 전산망 해킹에 연관된 것으로 알려져 있다. 2015년 가을, 해당 그룹은 서울 국제 항공우주 및 방위산업 전시회(ADEX) 참가 업체에 대한 공격을 시도했다. ADEX는 1996년부터 격년으로 열리는 국제 방위산업 전시회다.

공격자는 주최 측으로 위장해 취약점이 포함된 한글 파일이나 악성 매크로를 포함한 엑셀, 워드 문서를 메일에 첨부하는 공격 방식을 사용했다. 특히, 사건이 발생하기 4년 전인 2012년 자산관리 프로그램 취약점 테스트 정황이 확인됐고, 2014년 7월부터 해킹을 시도한 것으로 보아 공격자는 해당 대기업에 대한 공격을 장기간 준비했음을 예상할 수 있다.

△ 어나니머스 팬텀 작전(Operation Anonymous Phantom)
2016년 1월부터 10월까지 유사 악성코드를 이용한 국내 방위산업체에 대한 공격이 확인됐다. 안랩은 공격에 사용된 파일 이름과 통신 시 사용하는 문자열을 토대로 해당 공격을 ‘오퍼레이션 어나니머스 팬텀(Operation Anonymous Phantom)’으로 명명했다. 해당 악성코드는 2016년 1월 최초 발견됐지만, 2015년 10월 처음 제작된 것으로 추정된다. 다수의 국내 방위산업체를 노렸으며, 정확한 공격 방식은 확인되지 않았다.

최근에는 2017년 4월 더미다(Themida) 패커로 패킹된 악성코드 변형이 국내 에너지 관련 연구소에서 발견됐다. 2017년 5월에는 특징적인 어나니머스(Anonymous) 문자열이 제거된 변형도 발견되는 등 현재까지 꾸준히 활동 중이다.

공격 그룹간 연관성과 한국어 사용자 연루 가능성 제기
앞서 언급한 사례와 같이 국내 방위산업체 공격 시도는 다수의 그룹에 의해 이뤄졌다. 고스트 라이플 그룹에서 사용한 라이프도어 악성코드와 어나니머스 팬텀 그룹에서 사용한 팬도어 악성코드는 유사한 암호화 방식을 사용하고 있다. 한편, 국내 공격에 사용된 악성코드를 추적한 결과 다른 악성코드에 대한 연관성도 함께 발견됐다.

▲ 어색한 한글이 인상적인, 오퍼레이션 고스트 라이플에서 사용된 제어 프로그램[자료=안랩]


결론적으로 국내 방위산업체를 공격 대상으로 한 레드 닷 그룹, 고스트 라이플 그룹, 어나니머스 팬텀 그룹의 연관성은 명백하지 않지만, 코드와 암호화 방식의 유사성으로 미루어볼 때 이들 그룹이 동일 그룹 혹은 협력 그룹일 가능성이 있다. 일부 그룹에서 공격에 사용한 프로그램 중에는 한국어로 된 프로그램이 확인되어 국내 공격자가 한국인일 가능성도 제기됐다. 고스트 라이플 그룹에서 사용한 악성코드 제어 프로그램은 ‘체계설정’, ‘문자렬’, ‘통보문현시’ 등과 같은 어색한 한글이 사용되고 있는 것이 확인됐다.

또한 어나니머스 팬텀 그룹에서 제작한 것으로 보이는 다른 악성코드의 PDB 정보에는 사용자 이름에 ‘KGH’와 같이 한국인으로 추정할 수 있는 이니셜과 횟수를 의미하는 ‘1차(cha)’ 문자열을 포함하고 있기도 했다.

이렇듯 안랩을 비롯한 국내외 보안업체들이 분석한 바와 같이 2011년 이후 방위산업체를 타깃으로 한 공격이 더욱 고도화되고 있다면서 방위산업체는 국가안보와도 밀접하게 연관되어 있기 때문에 앞으로도 경쟁국, 적대국의 공격자들이 방위산업체에 대한 공격을 더욱 확대할 것으로 보인다고 설명했다.

보고서에 따르면, 국내 방위산업체에 대한 공격 시도 또한 꾸준히 확인되고 있다. 특히, 일부 공격 그룹은 국내 방위산업체뿐 아니라 정치, 외교 분야에 대한 공격도 함께 진행하고 있는 것으로 보아 산업스파이가 아닌 국가 주도의 첩보조직 가능성이 존재한다. 이와 같은 국내 방위산업체에 대한 공격은 단순 산업 기밀 유출을 넘어 국가안보에 대한 위협이 야기되는 만큼 더욱 강력한 보안 대책과 관리가 필수라고 보고서는 강조했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)