세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  INFO-CON
Home > 전체기사
백승주 의원 사칭까지... 北 3개 해커조직 활동 분석
  |  입력 : 2018-12-13 15:30
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
백승주 의원 사칭 해커, 합참의장 후보자 인사청문 경과 보고서 제목으로 10월 8일 발송
정보탈취용 악성코드...우리 정부, 군, 북한 관련 단체 타깃의 사이버공격으로 분석
계정 도용·사칭 스피어피싱 메일 점차 고도화... 첨부파일은 발신자에게 직접 확인 필요


[보안뉴스 김경애 기자] 지난 박근혜 정권 초 국방부 차관을 역임했던 국회 국방위원회 간사 자유한국당 백승주 의원을 사칭한 악성파일이 발견됐다. 해당 악성파일은 10월 8일 발송됐는데, 이는 앞서 본지가 보도한 ‘민간자문위원 대상 해킹메일’ 유포 시점과 동일하다. 북한 추정 해커조직의 전방위적인 사이버공격 가능성이 점차 높아지고 있다.

▲국방위 간사 백승주 자유한국당 의원을 사칭해 발송된 메일에 첨부된 악성파일 화면[이미지=보안뉴스]


이번에 발견된 악성파일은 ‘합동참모의장 후보자 인사 청문 경과 보고서’ 제목으로 국방위원회 간사인 자유한국당 백승주 의원을 사칭해 10월 8일 발송됐다.

본지가 입수한 악성파일을 살펴보면 ‘합동참모의장 후보자 인사 청문 경과 보고서’ 악성파일에는 1. 인사청문대상 2. 회부 및 청문 일자로 가. 인사청문요청안 제출 나. 인사청문요청안 회부 다. 위원회 상정 및 인사청문회 실시계획서 의결 라. 인사청문회 실시 마. 인사청문경과보고서 채택 등의 순서로 내용이 들어 있다.

해당 악성파일은 지난 10월 8일, 국가정보원 산하 국가사이버안전센터(NCSC)에서 ‘국가·공공기관에서 운영 중인 각종 자문위원회 소속의 민간위원 대상으로 자료절취 목적의 해킹메일이 유포 중’이라며 발신계정 ‘4*****@hanmail.net’ 메일에 대한 주의를 당부한 비슷한 시점에 발송됐다. 당시 이 이슈에 대해 특정 대학교는 10월 8일 이 같은 사실을 공지했다. 북한 추정 사이버공격이 비슷한 시기에 대대적으로 감행됐을 가능성이 높은 대목이다.

공격주체로는 북한 해커조직이 거론되고 있다. 최근 대통령 비서실 및 국가안보실의 과제를 수행하는 산학협력단을 사칭하는 악성 메일과 ‘국가안보실 정책자문위원회 전체회의 계획’ 제목의 악성파일도 북한 추정 사이버공격의 연장선으로 추정된다.

북한 해커조직은 정보탈취 및 첩보활동 목적으로 탈북자나 북한 관련 단체, 그리고 한수원을 공격한 2개의 그룹, 금전적 이득을 목적으로 국내외 가상화폐 거래소 등 타깃으로 공격하는 그룹, 이렇게 총 3개 그룹으로 분류된다.

국내외 가상화폐 거래소를 집중 공격하는 그룹은 일명 라자루스로 잘 알려져 있다. 또한, 탈북자나 한수원 등을 공격한 그룹은 주로 김수키로 불린다. 나머지 한 그룹은 김수키 조직과 공격 대상이 유사하다. 북한 관련 단체나 연구가, 군, 언론, 정부기관 등을 타깃으로 사이버공격을 수행한다. 다만 공격수법이나 코드 기반에 따라 보안업체마다 호칭이 다르다. 일례로, 안랩은 레드 아이즈(Red Eyes), 이스트시큐리티는 금성121(Geumseong121), 시스코 탈로스는 그룹 123(Group 123), 카스퍼스키는 스카크러프트(ScarCrurf), APT37, 그리고 리퍼(Reaper), 물수제비 천리마(Ricochet Chollima) 등이다.

이번 백승주 의원 사칭 공격 역시 이들 그룹의 소행으로 분석됐다. 이 그룹은 △2015년 7월 IT 기업 공격을 시작했으며. 2016년에 가을에 처음 확인됐다. △2016년 1월에는 한컴 업데이트 파일로 가장하거나 ‘북 수소폭탄 게임의 진실과 대응책.hwp ’ 파일로 위장했다. △2016년 2월애는 경찰 불법복제 소프트웨어 점검 프로그램을 사칭했으며, △2016년 3월에는 언론사 타깃 공격을, △2016년 4월에는 크롬 설치판 및 화면 캡처 프로그램 등으로 위장해 지속적으로 공격을 감행했다.

2018년에는 카카오톡 메신저를 통해 Flash Player Zero-day였던 CVE-2018-4878 취약점 공격을 수행한 바 있으며, 지난 7~8월에는 ‘남북이산가족찾기 전수조사’ 내용으로 스피어피싱(Spear Phishing) 메일을 통해 표적 공격을 수행했다.

이번 사건과 관련해 자유한국당 윤영석 수석대변인은 “지난 11일 국방위원회 백승주 간사를 사칭한 이메일 해킹 시도가 있었던 시점은 한미가 비핵화 협상 전략을 조율했을 당시인 지난 10월경으로, 한미간 비핵화 협상전략이 고스란히 노출될 수 있었던 아찔한 상황이었다”며 “앞서 청와대 국가안보실을 사칭한 문서가 유포되고, 윤건영 청와대 국정상황실장의 이메일이 도용되는 등 국가안보에 커다란 구멍이 뚫렸는데도 정부 대응은 미온적이기만 하다. 국가기밀이 무방비로 해커의 손에 넘어간다면 국가안보 차원을 넘어 국가의 존립마저 위태롭게 할 수 있는 중대한 문제다. 정부는 하루빨리 해킹시도 주체를 명확히 밝히고, 철저한 사이버 보안대책을 마련해야 한다”는 입장을 표명했다.

이스트시큐리티 문종현 이사는 “문서 파일 취약점을 이용한 스피어피싱 공격이 지속적으로 발생하고 있다”며 “계정 도용이나 사칭의 경우 의심하기가 쉽지 않으나 아는 사람이 보낸 메일이라도 발신자에게 직접 확인하는 게 중요하다. 특히, 이러한 유형의 사이버보안 위협은 계속 감행되고 있으므로 각계각층의 지속적인 관심과 노력이 필요하다”고 당부했다.

한국인터넷진흥원 이동근 단장은 “지인 등을 사칭한 스피어피싱 공격 기법이 날로 정밀화·고도화되고 있는 만큼 메일 수신시 발신자를 확인하는 습관이 중요하고, 스피어피싱 메일에 첨부된 악성코드에 감염되지 않도록 세심한 주의를 기울일 것”을 강조했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
신기술이 무서운 속도로 등장하고 있습니다. 가장 시급히 보안 장치/정책/규정규정/표준이 도입되어야 하는 분야는 무엇이라고 생각하십니까?
클라우드와 컨테이너
SDN(소프트웨어 정의 네트워크)
인공지능과 자동화
블록체인
소셜 미디어
기타(댓글로)