북한과 함께 사업을 논의하던 중동의 한 기업이 지난해 정밀한 표적공격을 당했다. 이 기업의 임원이 은행 계좌 해지 통지서를 위장한 스피어피싱 공격을 당했다. 메일의 첨부파일에는 공격이 일어나기 한 달 전 공개된 MS 취약점을 이용하는 익스플로잇 코드가 심어져 있었으며, 악성 웹사이트로 연결돼 추가 백도어와 공격툴을 다운로드하면서 공격이 시작됐다.
북한이 중동의 다른 기업과 함께 합작회사를 통해 통신서비스를 제공하려고 논의하다가 틀어졌다는 소식이 들리기 시작한 후 부터 이 회사에 공격이 시작됐다. 북한 정부가 비즈니스 파트너에 대한 정보를 수집하기 위해 공격한 것이라는 분석이 나온다.
군 관련 정보 수집하는 북한 공격 그룹
북한 정부가 후원하거나 직접 운영하는 것으로 예상되는 공격 그룹이 여러 건 보고되고 있다. 최근 안랩은 레드아이즈 공격그룹을 분석한 보고서를 발표한 바 있으며, 다른 보안 기업들은 금성121, 그룹 123, 스카크러프트, 리퍼, 물수제비 천리마(Ricochet Chollima) 등의 이름으로 부르고 있다.
파이어아이는 ‘APT37’라는 이름으로 부르고 있는데, 앞서 언급한 중동 기업 표적공격은 APT37이 일으킨 공격의 한 예로 소개한 것이다.
팀 웰스모어 아시아태평양지역 위협정보분석 디렉터는 “APT37은 북한 정부가 배후에 있는 공격그룹이라고 확신한다. APT37이 일으킨 것으로 보이는 공격의 전후 상황과 공격 방식, 공격 도구 등을 분석해 보면, 북한이 이익을 볼 수 있는 공격이었고 공격 시간이 북한의 근무시간과 일치하며, 공격지가 노출된 지역을 보면 북한인 경우가 있기 때문”이라며 “이 외에도 공개할 수 없는 많은 증거를 통해 북한의 공격그룹이라고 활신 할 수 있다”고 설명했다.
파이어아이가 분석한 APT37은 한국, 탈북자, 한반도 통일을 위한 활동에 참여하고 있는 조직과 개인을 표적으로 하고 있으며, 군, 방산 관련 정보를 수집하고 있다. 개발자의 실수로 공개된 정보에 의한 북한과 관련된 IP 주소와 액세스 포인트가 나타나며, 공격일지를 보면 북한의 업무일과 일치한다.
북한의 이익과 관련 있는 공격 진행
APT37은 2012년부터 활동해 온 것으로 추정되며, 2017년부터 다른 국가로 확산되는 것으로 보인다. 한국이 주요 공격 국가이며, 일본, 베트남, 중동지역 국가와 기업까지 확산하고 있었다. 정부와 군, 국방, 방산업체, 미디어 등을 노리고 있으며, 북한 국익과 밀접한 관계에 있는 국가와 기업, 주요 인사들을 노리고 있다.
이들은 군사 전략, 정치, 경제적 이익을 위한 기밀정보 수집을 위해 공격을 진행하고 있으며, 북한의 전략적 이익에 직접적인 연관이 있는 공격을 진행하고 있는 것으로 분석된다.
한국을 노리는 공격은 HWP와 같은 한국에서 사용하는 프로그램의 취약점을 이용하며, 어도비 플래시 취약점을 이용하기도 한다. 자체 개발한 제로데이 취약점을 이용해 기존 보안 장비로 탐지되지 않도록 한다.
팀 웰스모어 디렉터는 “정치적인 목적을 가진 사이버 공격이 냉전중이거나 갈등관계에 있는 조직만을 노리는 것은 아니다. 평화로운 관계에서도 공격이 일어난다”며 “남북관계가 화해와 평화의 길로 들어선 것은 환영할 일이지만, 그렇다고 해서 북한의 사이버 스파이 활동이 중단됐다고 보기는 어렵다”고 말했다.
아태 기업, 공격 탐지까지 3년 걸려
파이어아이가 지난 한 해 동안 발생한 위협을 분석한 보고서에 따르면 공격이 시작되고 탐지되기까지 공격자가 조직의 네트워크에 머무르는 시간이 아태지역은 평균 498일로, 전 세계 평균 101일의 4배에 이른다. 자체적으로 탐지하는 경우는 1088일이나 걸려 3년 가까이 공격이 유지되고 있었던 것으로 분석된다 .
더 심각한 것은 한 번 공격당한 기업이 또 다시 공격당한다는 것이다. 아태지역에서 공격을 당한 조직 중 또 다른 공격자에 의해 침해를 당한 조직의 비율이 무려 91%에 이르렀다. 미국은 44%, EMEA 지역은 47%였다.
팀 웰스모어 디렉터는 “확고한 목표를 설정한 공격 그룹과 맞서게 되면 결국 사이버 위협은 불가피해진다. 국가 경제 보안과 국방이 민간 분야의 보안에 더욱 의존하고 있기에, 기업들은 사이버 공격을 직면할 때 발생하는 위험에 대해 전략적 접근 방식을 취하는 것이 중요하다”며 “기업에서는 공격 가능성이 높은 침입자와 그들이 어떻게 공격할지에 대한 지식을 갖춰야 하며, 공격을 감지하고 대응할 능력을 쌓아 즉각적으로 보안 리소스를 배치할 수 있도록 준비해야 한다”고 전했다.
한편 파이어아이코리아는 이날 사이버 보안 최신 동향과 방어 기술을 소개하는 ‘사이버 디펜스 라이브 2018’을 열었다. 1000여명의 정보보안 관계자들이 참여한 이 행사에서 파이어아이는 한반도를 둘러싼 보안 인텔리전스를 소개하고, 기관 및 기업들이 반복적으로 해킹을 당하는 이유와 해킹을 당했을 때의 대응 등을 소개했다.
전수홍 파이어아이코리아 지사장은 “사이버 디펜스 라이브 참가자들이 매년 큰 폭으로 늘어나고 있어 사이버 보안에 대한 중대한 관심을 볼 수 있다. 그만큼 조직들이 지능형 공격을 당하고 있다는 뜻”이라며 “파이어아이는 글로벌 위협 인텔리전스를 통해 전 세계 최신 위협에 대응할 수 있는 방법을 제안할 뿐 아니라 한국에서 발생하는 위협을 정밀하게 분석하고 지역 특징에 맞는 탐지·대응 방안을 소개한다. 파이어아이코리아에서 그 역할을 맡아 국내 보안 환경을 개선해 나간다는 임무를 성실히 수행하고 있다”고 말했다.
