Home > 전체기사
돈 궁한 북한 정부, 라자루스 동원해 메이지카트식 공격 실시
  |  입력 : 2020-07-07 11:33
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
2019년 5월부터 실시한 공격, 온라인 상거래 사이트에 웹 스키머 심어
카드 정보 빼낸 뒤 다크웹에 팔기도...국가 정부란 곳이 사이버 범죄자와 동급


[보안뉴스 문가용 기자] 북한 정부의 후원을 받는 것으로 알려진 해킹 단체 라자루스(Lazarus)가 최근 메이지카트와 비슷한 행보를 보이고 있다는 조사 결과가 발표됐다. 정부 지원 APT 단체가 온라인 상거래 사용자들의 카드 정보를 노리는 스키머 코드를 사용하기 시작했다는 것이다. 이에 대해 보안 업체 샌섹(Sansec)이 발표했다.

[이미지 = utoimage]


샌섹에 의하면 최근, 일견 메이지카트의 행위로 보이던 공격들에 사용된 인프라가 이전에 라자루스가 활용하던 인프라와 동일하다고 한다. 이에 추적을 시작했는데, 라자루스가 메이지카트의 지불카드 정보 스키머를 활용해 대형 온라인 쇼핑몰들을 2019년 5월부터 공격해왔다는 정황이 드러났다.

메이지카트는 일종의 사이버 범죄 단체의 연합으로, 각 단체는 독립적으로 활동을 하지만 전부 같은 카드 스키머 스크립트를 사용한다. 마젠토(Magento) 기반 플랫폼을 가장 많이 공격하지만 오픈카트(Opencart), 빅커머스(BigCommerce), 프레스타샵(Prestashop), 세일즈포스(Salesfoce)도 자주 이들의 희생양이 된다.

샌섹은 이번 보고서를 통해 “지불 정보를 가져가려면 공격자들이 온라인 스토어의 기본 바탕이 되는 코드 일부를 변경해야 한다”며 “라자루스가 현재 하고 있는 일이 바로 이것”이라고 설명한다. 최근 사이버 공격을 당한 것으로 보도된 클레어스(Claire’s) 역시 라자루스에게 당한 것으로 샌섹은 주장하고 있다.

샌섹 측은 라자루스가 사이트 침해를 위해 가장 처음에는 스피어피싱 기법을 활용하는 것으로 보고 있다. 목적은 온라인 쇼핑몰 임직원의 크리덴셜을 탈취하는 것이다. 탈취에 성공한 후에 라자루스는 해당 크리덴셜로 접속하고, 결국 카드 정보를 빼내는 스크립트를 웹사이트에 심는다. 이렇게 오염된 사이트에서 누군가 구매를 하고 결제를 시도하면 카드 정보가 해커들이 조정하는 서버로 넘어간다.

라자루스는 이 때 정보를 직접 자신들의 서버로 가져오지 않았다. 정상적인 사이트를 해킹한 후, 이곳으로 정보를 전송하는 방식을 도입했다. 자신들의 범죄 행위를 감추기 위함이다. 이탈리아의 한 모델 에이전시, 테헤란의 빈티지 음악 매장, 미국의 한 서점 등이 이러한 목적의 웹사이트 변조 공격을 받았다고 한다. 이렇게 빼돌린 정보 중 일부는 다크웹에서 거래되기도 했다.

이 캠페인을 발견해 추적하기 시작한 건 지난 여름부터라고 한다. 미국의 한 자동차 부품 관련 사이트에서 스키머가 발견되면서였다. 추적을 시작하자 수십 개의 사이트에서 같은 공격의 흔적이 나타났다. 또한 이전에 라자루스의 것이라고 알려진 공격 전략과 인프라, 도구들이 이 대형 캠페인에서 같이 발견되기 시작했다. “도메인 등록소, DNS 서비스, 자주 사용하는 로더 사이트, 코드 스니펫 등이 전부 같았습니다.”

게다가 이번 공격에서 발견된 것처럼, 숨겨진 동적 이미지를 가짜 이름으로 페이지에 추가하는 공격 패턴도 라자루스에게서 자주 발견되던 것이라고 샌섹은 설명을 추가했다. “같은 로더 사이트를 사용하고, 전부 비슷한 시간대에 활동한 것으로 나타나는데, 이것으로 이 메이지카트식 공격들이 북한 라자루스의 행위라고 할 수 있을까요? 이론적으로는 누군가 북한에게 뒤집어씌우기 위해 이러한 방식으로 공격을 했을 수도 있습니다. 그러나 이렇게까지 모든 면에서 북한 라자루스를 따라서 한다는 건 비현실적입니다. 너무나 많은 우연과 비용 투자가 있어야만 이렇게까지 닮을 수 있습니다.”

결국 북한의 해커들이 메이지카트에 가입해 비슷한 공격을 실시하고 있거나, 메이지카트처럼 보이기 위해 웹 스키머 코드를 사용하고 있다는 뜻이 된다. “북한 정부가 여러 가지 상황 때문에 국고가 마르고 있고, 이 때문에 사이버 공격 기술을 사용해 돈을 충당한다는 사실은 누구나 알고 있습니다. 메이지카트와 라자루스와의 관계가 어찌됐든, 결국 지금 북한 정부 지원 해커들은 일반 사이버 범죄자들에 섞여 돈 벌이를 하고 있다는 건 확실합니다.”

최근까지 북한 해커들은 한국의 은행과 암호화폐 거래소를 공격해 꽤 많은 돈을 훔쳐가는 데 성공했다. UN이 지난 해 발표한 보고서에 의하면 이 돈이 20억 달러에 육박한다고 한다. 샌섹은 “이런 식의 행위가 어느 정도 국가 수익에 도움이 된다고 판단한 듯 하며, 그래서 공격 수단을 더 늘려가고 있는 듯하다”고 결론을 내렸다.

3줄 요약
1. 메이지카트의 웹 스키머 추적했더니 라자루스 공격 인프라 나옴.
2. 2019년 5월부터 메이지카트에 섞여 여러 온라인 쇼핑몰 공격한 듯.
3. 사이버 공격으로 수익 활동 벌이고 있는 북한 정부, 일반 범죄자와 같은 수준.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)