Home > 전체기사
북한, 정상회담 뒤에서 사이버 활동 활발하게 펼치고 있어
  |  입력 : 2018-04-27 11:43
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
세계 여러 나라 금융권 털고...일부 나라엔 주민 파견해 사기 행위 벌여
북한 상위 1% 엘리트들, 갑자기 온라인에서 자취 감춰...분석 어려워


[보안뉴스 문가용 기자] 남북 정상회담이 열리고 미국과의 정상회담 역시 가까이 다가옴에 따라 북한의 물밑 정보수집 활동이 거세지고 있다. 최근에도 북한의 대표적인 해킹 그룹인 라자루스 그룹(Lazarus Group) 혹은 히든 코브라(Hidden Cobra)는 고스트시크릿 작전(Operation GhostSecret)을 통해 온갖 정보를 수집하고 있는 것으로 알려졌다. 이에 대해 보안 업체 맥아피(McAfee)가 상세히 발표했다.

[이미지 = iclickart]


맥아피는 “라자루스의 고스트시크릿 작전은 최근 지난 달 터키의 여러 은행을 해킹 한 것으로부터 처음 발견됐다”고 말한다. 맥아피의 수석 분석가인 라이언 셔스토비토프(Ryan Sherstobitoff)는 “터키 은행 해킹 사건을 조사할 때, 보다 거대한 음모가 숨어 있는 것 같은 흔적들이 발견됐다”고 말한 바 있다. 그러면서 “돈을 훔치는 것보다 은행의 운영 방법과 절차 등을 정찰하기 위한 공격에 더 가까워 보이는 것도 그러한 흔적 중 하나”라고 설명했다.

이 때 발견된 멀웨어는 뱅크샷 트로이목마(Bankshot Trojan)이라는, 일종의 악성 임플란트였다. 그리고 얼마 지나지 않아 맥아피의 보안 전문가들은 17개국의 여러 조직들에서 똑같은 임플란트를 발견했다. 가장 많이 발견된 곳은 태국으로, 현재 맥아피는 태국 당국과 함께 조사 활동을 펼치고 있다. 고스트시크릿 작전의 통제 서버 인프라를 폐쇄시키는 것이 목적이다.

이 고스트시크릿 작전에는 다양한 종류의 맞춤형 멀웨어들이 동원되고 있다. 대부분 표적이 된 시스템에 침투해 정보를 빼내오는 것을 주요 기능으로 하고 있다. 라자루스 그룹이 2014년 소니 픽처스를 공격할 때 사용했던 데스토버(Destover)의 변종으로 보이는 멀웨어도 이 과정에서 발견됐다. 프록시svc(Proxysvc)라는 새로운 멀웨어 패밀리 역시 발견됐는데, 맥아피 공격자들은 이 멀웨어가 2017년 데스토버의 변종과 함께 한 차례 사용된 적이 있다고 보고 있다.

“프록시svc는 3월 22일 공공 및 민간 부문으로부터 수집된 멀웨어입니다. 그 전인 3월 19일에는 프록시svc의 실행 가능한 드로퍼 부분이 한국에서 발견되기도 했고요. 프록시svc를 추적해본 결과 ‘리스너’에 해당하는 부분이 고등교육과 관련된 기관들에 주로 배포되어 있었습니다. 저희는 이것이 핵심 제어 서버 인프라와 관련이 있는 것으로 보고 있습니다. 즉 배후에 있는 자들이 고등교육 기관들이 인프라를 의도적으로 선택해 프록시svc를 운영한 것이죠.” 맥아피의 설명이다.

또한 맥아피의 수석 과학자인 라지 사마니(Raj Samani)는 블로그 포스트를 통해 “저희가 터키 은행과 관련된 사이버 공격을 수사하고 발표했음에도, 공격자들은 전혀 움츠러들지 않고 있다”고 썼다. “공격을 계속 진행하고 있을뿐만 아니라 오히려 공격 범위를 넓혔습니다. 공격의 표적도 더 많아지고 사용되는 툴도 늘어났어요.”

그렇게 확장된 표적 중 가장 빈번한 공격을 받고 있는 것이 태국이라고 또 다른 보안 업체 레코디드 퓨처(Recorded Future)가 발표했다. 태국은 북한 시민들이 꽤나 많이 거주하면서 북한 정권을 위해 외화 벌이를 하고 있는 지역으로 알려져 있다. 레코디드 퓨처는 또 다른 보안 업체 인식트 그룹(Insikt Group)과 함께 방글라데시, 인도, 말레이시아, 중국, 뉴질랜드, 네팔, 케냐, 모잠비크, 인도네시아에서 발견되고 있는 북한의 사이버 활동들을 추적해 이번 주 발표했다.

발표에 따르면 북한 정부는 일부 북한인들을 태국, 방글라데시, 중국 등으로 ‘유학’을 보내 컴퓨터 과학을 공부하도록 한다. 파견된 북한인들은 가짜 비디오 게임과 봇을 개발하는데, 이것들의 목적은 정상적인 게이머들의 귀중한 디지털 아이템을 빼앗아 되파는 것이다. 또한 게임 내에서 버그를 찾아내 게임 개발사에 파는 경우도 있다. 레코디드 퓨처는 “태국과 방글라데시에는 북한 정부가 운영하는 레스토랑도 있고, 일부 범죄와 관련된 일은 서로 협조하기도 한다”며 “북한의 투자가 두 나라에서는 허용되고 있기도 하다”고 세 나라의 관계를 설명했다.

라자루스 그룹과 북한 정부가 운영하는 다른 사이버 공격 그룹의 목적은 현재까지 ‘돈 벌이’에 치중되어 있다. 그래서 암호화폐를 거둬들이기도 하고 온라인 게임 산업에 끼어들어 사기를 치기도 하며 은행을 털기도 한다. “북한 정권은 지금 돈이 필요해요. 충분히 채워질 때까지 이러한 활동은 계속 될 겁니다.” 레코디드 퓨처의 부회장인 레비 건더트(Levi Gundert)의 설명이다.

하지만 북한의 순수 첩보 수집 활동 또한 무시해서는 안 된다고 건더트는 경고한다. “정보도 돈이 되니까, 이들은 금고를 털어가며 정보도 수집해 갑니다. 그러나 정보 수집 능력이라는 측면에 있어서는 다른 유명 해킹 국가의 수준에 미치지는 못합니다. 예를 들어 중국에 비해서는 그 기능이 현저히 떨어진다고 봅니다. 물론 북한도 스스로 정찰용 툴을 만들 능력은 됩니다만, 타국을 감시하고 추적한다는 경험 자체가 중국이나 러시아에 비해 크게 떨어지는 게 사실입니다.”

또 하나 주목해야 할 것을 레코디드 퓨처의 보고서에서 발견할 수 있다. 북한의 정권 세력, 즉 북한의 상위 1%이며 유일하게 공공 인터넷에 접근이 가능한 이들이 갑자기 인터넷에서 사라졌다는 사실이다. 보다 정확히 말하면, 이들은 어느 날부터 자신들의 난독화 기술을 사용해 온라인 활동이 눈에 띄지 않도록 했다. 또한 서양 세계에서 인기가 높은 소셜 미디어 및 서비스를 전부 탈퇴했다. 구글, 페이스북, 인스타그램 등은 물론 중국에서 인기가 높은 알리바바, 텐센트, 바이두에서도 이들은 탈퇴 버튼을 눌렀다. 아마도 미국 첩보 기관의 정보 수집을 막기 위해서인 것으로 보인다.

북한의 상위 1%에 속하는 사람들은 인터넷에서 대부분 동영상을 보거나 게임을 했고(70%), 웹 브라우징도 꽤나 많이 했다(13%). 그러나 이제는 대부분이 VPN이나 토르 서비스를 사용하기 시작했는데, 이러한 익명 서비스의 사용량이 1200%나 늘어났다고 한다. 또 모네로 코인의 채굴 비율 역시 급증하기 시작했다.

레코디드 퓨처의 전략 위협 개발 책임자인 프리실라 모리우치(Priscilla Moriuchi)는 “북한 엘리트들의 온라인 행동 패턴이 일제히, 갑자기 바뀌어 깜짝 놀랐다”며 “그들의 적응력은 상상 외로 뛰어난 것으로 보인다”고 말한다. “보통 권력자들은 딱딱하고 보수적이며 고집스럽다고 생각되는데, 그들은 카멜레온처럼 움직입니다. 새로운 기술도 빨리 익히고 사용할 줄 알며, 정세에 맞게 행동할 줄도 압니다.”

이렇게 북한의 엘리트들이 일사분란하게 사라짐으로써 북한 ‘엿보기’는 더 힘들어졌다고 모리우치는 말을 맺었다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년 국정감사에서 가장 중점적으로 다뤄야 할 보안이슈는 무엇이라고 보시나요?
잇따른 개인정보 유출사고
드론 테러 대응 대책
보안 관련 법 체계, 제도 정비
국가 사이버안보 거버넌스(보안 콘트롤타워) 정립
국가 차원의 사이버테러 대응 방안
스마트시티에서의 보안위협 대응
https 접속 차단 정책
국가핵심기술 및 기업 기밀 보호 방안
기타(댓글로)
      

유니뷰코리아
CCTV / 영상보안

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

Videotec
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

도마카바코리아
시큐리티 게이트

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

비전정보통신
IP카메라 / VMS / 폴

슈프리마
출입통제 / 얼굴인식

동양유니텍
IR PTZ 카메라

트루엔
IP 카메라

링크플로우
이동형 CCTV 솔루션

보쉬시큐리티시스템즈
CCTV / 영상보안

엔토스정보통신
DVR / NVR / CCTV

CCTV협동조합
CCTV

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

씨오피코리아
CCTV 영상 전송장비

테크어헤드
얼굴인식 소프트웨어

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

구네보코리아
보안게이트

다민정보산업
기업형 스토리지

에스카
CCTV / 영상개선

이스트시큐리티
엔트포인트 보안

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

알에프코리아
무선 브릿지 / AP

사라다
지능형 객체 인식 시스템

일산정밀
CCTV / 부품 / 윈도우

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

창우
폴대

퍼시픽솔루션
IP 카메라 / DVR

새눈
CCTV 상태관리 솔루션

이노뎁
VMS

케이티앤씨
CCTV / 모듈 / 도어락

아이유플러스
레이더 / 카메라

진명아이앤씨
CCTV / 카메라

브이유텍
플랫폼 기반 통합 NVR

아이엔아이
울타리 침입 감지 시스템

두레옵트로닉스
카메라 렌즈

이후커뮤니케이션
CCTV / DVR

DK솔루션
메트릭스 / 망전송시스템

옵티언스

대산시큐리티
CCTV 폴 / 함체 / 랙

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

세환엠에스
시큐리티 게이트

지에스티엔지니어링
게이트 / 스피드게이트

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제