“소니 해킹한 공격자, 국내 방산업체 지속적으로 노려”
상태바
“소니 해킹한 공격자, 국내 방산업체 지속적으로 노려”
  • 김선애 기자
  • 승인 2017.07.04 09:12
  • 댓글 0
이 기사를 공유합니다
안랩 보고서 통해 밝혀…“공격자, 타깃 시스템 취약점 테스트도 진행”

국내 방산업체를 지속적으로 공격하고 있는 해킹그룹은 2014년 소니픽처스를 해킹한 그룹이거나 협력관계에 있다는 분석이 지속적으로 제기되고 있다. 안랩은 3일 ‘국내 방위산업체 공격 동향 보고서’를 발표하고 최근 방산업체 타깃 공격 분석 보고서를 발표하며, 이 주장을 뒷받침하는 증거를 내놓았다.

국내 대학 시스템 C&C 서버로 이용

안랩이 추적하고 있는 공격 그룹 중 하나인 아이스포그(Icefog)는 2011년 이전부터 활동을 시작해 2013년 10월까지 활동한 것으로 확인된다. 현재는 확인되지 않지만 악성코드를 변경해서 활동할 가능성도 있다.

레드 닷(Red Dot) 그룹은 2014년 6월부터 2016년 말까지 활동했으며 이스캐드(Escad) 악성코드를 공격에 사용한다. 초기 버전으로 보이는 악성코드는 2013년에 발견됐으며, 2014년 11월 미국 영화사 공격(소니픽처스 해킹)에도 연관된 것으로 보인다. 2016년에는 방위산업체뿐만 아니라 다른 국내 기업에 대한 공격도 진행했다.

2015년 등장한 고스트 라이플(Ghost Rifle) 그룹은 라이프도어(Rifdoor)와 고스트랫(Ghostrat) 악성코드를 주로 사용한다. 고스트 라이플 그룹은 레드 닷 그룹과 함께 2015년 국내 방위산업체 관련 컨퍼런스 참가 업체에 대한 공격을 가했다. 또한 이 그룹은 2016년 초 보안 업체에 대한 공격과 대기업 해킹에도 연루된 것으로 알려졌다.

2016년 초 등장한 어나니머스 팬텀(Anonymous Phantom) 그룹은 2016년 가을 이후 활동이 뜸하다가 2017년 초 에너지 관련 연구소 등을 공격한 것이 확인됐다.

레드 닷 작전(Operation Red Dot)에서 사용된 이스캐드 악성코드는 세계 여러 곳에 C&C 서버가 존재하는 것으로 확인되었다. 한편 2015년부터 2016년까지 발견된 라이프도어 악성코드와 2016년 초부터 활동을 시작한 팬도어(Phandoor) 악성코드의 C&C 서버는 대부분 한국에 위치했으며, 국내 대학교 시스템을 주로 이용하고 있었다.

<그림 1>국내외 주요 방산업체 공격

스피어피싱·워터링홀로 타깃 사용자 유인

방위산업체 공격 방식은 스피어피싱 이메일, 워터링 홀, 중앙 관리 시스템 해킹 등이다. 이메일을 통한 악성코드 유포와 워터링 홀 공격 방식을 사용했으며, 국내 업체 공격의 경우 중앙 관리 시스템을 해킹해 악성코드를 유포했다. 이 외에도 보안 프로그램, 액티브엑스 취약점을 이용한 공격도 알려져 있다.

중앙 관리 시스템을 직접 해킹한 사례는 지난해 집중됐다. 지난해 국내 보안 업체와 대기업 해킹 건은 모두 중앙 관리 시스템을 해킹해 시스템에 연결된 컴퓨터에 악성코드를 배포하는 방식을 사용했다. 일반적으로 회사에서 사용하는 컴퓨터가 관리를 위해 특정 관리 시스템에 연결되어 있는 점을 노린 것이다. 공격자는 주로 목표 대상 업체에서 사용하는 프로그램을 미리 분석한 후 해당 프로그램의 취약점을 노려 공격에 이용하고 있다.

맥OS도 안전하지 않다

실제 국내 방위산업체 공격 사례를 중심으로 공격을 시도한 그룹에서 사용한 악성코드와 공격 방식은 다음과 같다.

◆아이스포그 공격 그룹: 이 그룹은 2011년부터 공격을 시작했으며 한국과 일본의 정부 기관 및 방위 산업체가 주요 공격 대상이었다. 마이크로소프트 오피스, 자바, HLP 취약점 등이 공격에 이용되었으며 국내 공격 대상에는 한글 프로그램의 취약점도 이용되었다. 또한 공격에 사용된 악성코드 중에는 윈도우 악성코드뿐만 아니라 맥 악성코드도 존재한다. 국내 업체에서는 해당 악성코드로 인해 자료가 유출된 정황도 확인되었다.

안랩은 국내 방위산업체 등에서 아이스포그 그룹의 악성코드 변형을 추가 확인했다. 안랩이 확인한 바에 따르면 마지막으로 발견된 변형은 Icefog-NG다. 이외에도 별도로 안랩에서 언급하지 않았지만 국내 방위산업체로부터 접수된 악성코드 변형도 있는 것으로 확인됐다. Icefog-NG는 2013년 6월 19일 최초 발견되었으며 10월까지(제작은 8월로 추정) 총 13개의 변형이 발견되었다.

Icefog-NG는 방위산업체뿐 아니라 정치, 외교 분야도 공격 대상으로 삼았다. Icefog-NG 변형별 C&C 서버의 주소를 분석한 결과 국내 보안 사이트와 유사한 주소도 확인되었으며, 이로 미루어 볼 때 Icefog-NG는 국내를 노린 악성코드로 추정된다. 안랩에서는 현재까지 Icefog-NG 변형 중 최소 3개 이상이 국내 공격에 이용되었음을 확인했지만, 이 밖에도 확인되지 않은 공격 대상이 더 있었을 것으로 추정하고 있다.

아이스포그 공격 그룹은 2013년 10월 마지막 활동이 확인된 후 현재까지 활동이 확인되지 않고 있다. 이들이 활동을 중단했는지 악성코드를 변경해 새롭게 활동하고 있는지는 확인되지 않는다.

◆오퍼레이션 레드 닷: 이 그룹은 2014년 봄부터 2017년 2월까지 계속 공격 활동을 지속했으며, 2014년 말 미국 영화사 해킹과도 연계된 것으로 보인다. 안랩은 레드 닷 작전에서 사용된 100여 개의 관련 이스캐드 악성코드 변형을 발견했으며 초기 버전으로 추정되는 변형은 2013년부터 발견되었다. 2014년부터는 미국 영화사뿐만 아니라 대북 사이트, 방위 산업체 등에 대한 공격도 확인되었다. 발견된 변형 사이에는 코드 유사성을 포함해 파일명에도 상당한 공통점이 존재했다.

국내 기관에 대한 공격은 2014년 11월 미국 영화사 해킹 이후 2015년 봄부터 확인되었다. 국내 방위산업체에 대한 공격이 본격화된 것은 2015년 10월 ‘항공 관련 학회’를 사칭한 스피어 피싱 이메일을 통한 공격부터였다.

2015년 11월에는 ‘서울 에어쇼에서 전시된 10대 명품무기입니다’라는 제목으로 전시회 참가 업체들에게 한글 문서를 첨부한 메일을 발송했다. 첨부된 한글 문서를 실행하면 마찬가지로 한글 프로그램 취약점을 공격해 사용자 PC에 이스캐드 악성코드를 감염시킨다.

2016년부터는 공격 대상이 확대돼 호스팅 업체, 대기업, 언론사 등에 대해서도 공격을 시도하였다. 악성코드도 더 다양화됐으며 윈도우 제로데이 취약점을 이용한 공격도 발견됐다. 2017년 2월까지 공격이 확인됐으며, 현재까지도 공격을 지속하고 있을 가능성이 높다.

◆고스트 라이플 작전: 이 공격을 진행한 그룹은 주로 방위산업체를 노렸다. 대표적으로 2016년 초 국내 보안 업체, 2016년 6월 대기업 전산망 해킹에 연관된 것으로 알려져 있다.

2015년 가을, 해당 그룹은 서울 국제 항공우주 및 방위산업 전시회(ADEX) 참가 업체에 대한 공격을 시도했다. ADEX는 1996년부터 격년으로 열리는 국제 방위산업 전시회다.

공격자는 주최측으로 위장해 취약점이 포함된 한글 파일이나 악성 매크로를 포함한 엑셀, 워드 문서를 메일에 첨부하는 공격 방식을 사용했다. 메일에 첨부된 문서는 행사 관련 내용이며 첨부 파일 실행 시 사용자가 ‘콘텐츠 사용’을 선택하면 악성코드가 다운로드된다.

2015년 ADEX 참관 업체에 대한 공격에 최소 2개 이상의 공격 그룹이 참여한 것이 확인됐다. 한글 프로그램 취약점 파일의 경우 이스캐드 악성코드 변형이 포함돼 있었으며, 워드나 엑셀 파일의 경우에는 사용자가 매크로를 실행하면 라이프도어 악성코드 변형에 감염됐다.

2016년 6월에는 자산관리 솔루션을 이용한 방위산업체 관련 대기업 해킹 사건이 접수되었다. 자산관리 솔루션의 취약점을 이용한 것으로 파일 배포 기능을 통해 악성코드를 배포하여 대기업 해킹을 시도한 사건이다. 해당 공격으로 인해 설치된 고스트랫을 통해 약 4만여 건의 문서가 유출된 것으로 확인되었다.

<그림 2> 중앙 관리 시스템 취약점을 이용한 악성코드 관계도

특히 사건이 발생하기 4년 전인 2012년 자산관리 프로그램 취약점 테스트 정황이 확인되었고, 2014년 7월부터 해킹을 시도한 것으로 보아 공격자는 해당 대기업에 대한 공격을 장기간 준비했음을 예상할 수 있다.

◆어나니머스 팬텀 작전: 2016년 1월부터 10월까지 유사 악성코드를 이용한 국내 방위산업체에 대한 공격이 확인되었다. 안랩은 공격에 사용된 파일 이름과 통신 시 사용하는 문자열을 토대로 해당 공격을 ’오퍼레이션 어나니머스 팬텀(Operation Anonymous Phantom)’으로 명명했다. 초기 공격에 사용된 파일 이름이 ‘팬텀(Phantom.exe)’이며, 안랩의 해당 악성코드 진단명은 ‘팬도어(Phandoor)’이다. 해당 파일은 통신을 할 때 익명을 의미하는 ‘어나니머스(Anonymous)’ 문자열을 사용하는 것이 확인되었다.

해당 악성코드는 2016년 1월 최초 발견됐지만, 2015년 10월 처음 제작된 것으로 추정된다. 다수의 국내 방위산업체를 노렸으며, 정확한 공격 방식은 확인되지 않았다. 현재까지 발견된 변형은 총 37개로, 파일의 크기는 76,800 바이트에서 95,232 바이트 사이다. Phantom.exe 외 F_lps.exe, ahnV3.exe, v3scan.exe, otuser.exe 등 다양한 이름의 파일들이 발견되었다.

최근에는 2017년 4월 더미다(Themida) 패커로 패킹된 악성코드 변형이 국내 에너지 관련 연구소에서 발견되었다. 2017년 5월에는 특징적인 어나니머스(Anonymous) 문자열이 제거된 변형도 발견되는 등 현재까지 꾸준히 활동하고 있다.

한국어 사용자 연루 가능성 있어

앞서 언급한 사례와 같이 국내 방위산업체 공격 시도는 다수의 그룹에 의해 이뤄졌다. 고스트 라이플 그룹에서 사용한 라이프도어 악성코드와 어나니머스 팬텀 그룹에서 사용한 팬도어 악성코드는 유사한 암호화 방식을 사용하고 있다. 한편 국내 공격에 사용된 악성코드를 추적한 결과 다른 악성코드에 대한 연관성도 함께 발견됐다.

결론적으로 국내 방위산업체를 공격 대상으로 한 레드 닷 그룹, 고스트 라이플 그룹, 어나니머스 팬텀 그룹의 연관성은 명백하지 않지만, 코드와 암호화 방식의 유사성으로 미루어볼 때 이들 그룹이 동일 그룹 혹은 협력 그룹일 가능성이 있다.

일부 그룹에서 공격에 사용한 프로그램 중에는 한국어로 된 프로그램이 확인되어 국내 공격자가 한국인일 가능성도 제기됐다. 고스트 라이플 그룹에서 사용한 악성코드 제어 프로그램은 ‘체계설정’, ‘문자렬’, ‘통보문현시’ 등과 같은 어색한 한글이 사용되고 있는 것이 확인됐다.

또한 어나니머스 팬텀 그룹에서 제작한 것으로 보이는 다른 악성코드의 PDB 정보에는 사용자 이름에 ‘KGH’와 같이 한국인으로 추정할 수 있는 이니셜과 횟수를 의미하는 '1차(cha)' 문자열을 포함하고 있기도 했다.

안랩 보고서에서는 “2011년 이후 방위산업체에 대한 공격이 더욱 고도화되고 있다. 방위산업체는 국가 안보와도 밀접하게 연관되어 있기 때문에 앞으로도 경쟁국, 적대국의 공격자들이 방위산업체에 대한 공격을 더욱 확대할 것으로 보인다”며 “국내 방위산업체에 대한 공격 시도 또한 꾸준히 확인되고 있다. 특히 일부 공격 그룹은 국내 방위산업체뿐 아니라 정치, 외교 분야에 대한 공격도 함께 진행하고 있는 것으로 보아 산업 스파이가 아닌 국가 주도의 첩보 가능성이 존재한다. 이와 같은 국내 방위산업체에 대한 공격은 단순 산업 기밀 유출을 넘어 국가 안보에 대한 위협이 야기되는 만큼 더욱 강력한 보안 대책과 관리가 필수”라고 말했다.

저작권자 © 데이터넷 무단전재 및 재배포 금지
김선애 기자
김선애 기자 다른기사 보기
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.
주요기사