“한수원 공격한 그룹, 판문점 선언 악용해 공격 재개”
상태바
“한수원 공격한 그룹, 판문점 선언 악용해 공격 재개”
  • 김선애 기자
  • 승인 2018.05.29 16:56
  • 댓글 0
이 기사를 공유합니다

이스트시큐리티 “정부 후원 받는 APT 공격그룹 지속적인 타깃 공격 진행”

남-북-미 관계가 하루가 멀다하고 대반전의 드라마를 그려내고 있다. 전 세계가 한반도에 집중하고 있으며, 6·12일 북미정상회담 개최 여부와 종전선언 발표 여부에 촉각을 곤두세우고 있다.

예민하고도 민감한 국제정세를 이용한 APT 공격은 어김없이 등장하고 있다. 지난 4·27 남북정상회담 결과로 발표된 판문점 선언의 내용을 인용한 HWP 취약점 악용 문서가 유포되고 있다. 이 문서에 사용된 공격도구를 분석해보면 2014년 한국수력원자력 해킹 공격을 주도한 것으로 의심되는 공격그룹과 동일하거나 연관성이 있는 것으로 보이며, 정부 차원의 조직적인 후원을 받는 공격그룹일 것이라는 추정이 나온다.

이스트시큐리티가 28일 알약블로그에 공개한 보고서에서는 “‘작전명 원제로’라고 명명한 최신 APT 공격은 오랫동안 우리나라를 공격해 온 ‘작전명 김수키(Operation Kimsuky)’의 활동으로, 이는 정부 차원의 후원을 받는 공격그룹일 것으로 추정된다”며 “김수키 작전에서 사용된 공격 데이터가 ‘금성121(Geumseong121)’ 위협그룹이 사용한 작전에서도 동일하게 사용된 경우도 식별돼 직·간접적으로 연계된 APT 조직이 수행하고 있다고 판단된다”고 설명했다.

▲김수키 작전 계열의 악성파일과 금성121 그룹이 사용한 동일한 HWP 화면(자료: 이스트시큐리티 알약 블로그)

구글드라이브 C&C 활용해 보안 탐지 우회

이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터(ESRC)가 분석해 발표한 이 보고서에 따르면 초기 김수키 조직이 스피어피싱 공격을 수행할 때 발신지가 중국 선양지점이었으며, 최근에는 동일한 공격 데이터가 일본에서 발견됐다.

지난 18일 ESRC가 탐지한 HWP 포맷의 악성파일은 ‘종전선언’이라는 제목을 달고 있으며, 4·27 남북정상회담 관련 내용으로 위장하고 있다. 암호화된 문서를 해독해 풀어보면 한국의 한 대학원 특강자료로 표기돼 있고, ‘제2강 가야할 길: 통일을 지향하는 평화체제 구축’이라는 제목으로 시작된다. 더불어 ‘북한의 핵개발과 전쟁위기 고조’ ‘역사적인 판문점 남북정상회담(4.27)’ 등의 내용도 포함돼 있어 판문점 선언 후 작성된 내용이라는 점을 알 수 있다.

악성파일 내에는 김수키 작전에서 사용된 파일명들이 들어있으며, 구글드라이브가 명령제어(C&C) 서버로 사용됐다. 지난해 발견된 유사한 변종 DLL 파일도 구글드라이브를 C&C 서버로 사용했으나, 이번에는 DLL 내부에 포함하지 않고 악성 스크립트를 이용했다.

ESRC는 “구글드라이브를 사용하면 일부 보안관제에서 화이트리스트로 분류해 위협으로 탐지되지 않기 때문에 공격자가 이 부분을 활용한 것으로 보인다”고 설명했다.

“금성121-김수키, IOC 일치·동일한 취약점 이용”

ESRC는 이번 APT 공격이 한수원을 공격한 김수키 공격그룹과 밀접한 관련이 있다고 주장하는 이유는 HWP 취약점 파일의 쉘코드가 100% 동일하기 때문이다. 또한 문서파일 작성자 이름이 ‘burari’로 돼 있으며, burari는 인도의 도시 지명이며, 김수키 작전에 활용된 악성 이메일은 인도의 무료 웹메일 @india.com 서비스를 이용한 사례가 다수 발견됐다.

ESRC는 “금성121, 김수키 계열 공격에서 IOC가 일치하는 부분이 다수 발견됐다. 동일한 그룹에서 다양한 인력이 개별 작전을 수행하고 있다고 추정할 수 있다”며 “국가차원의 지원을 받는 것으로 추정되는 공격자 활동은 현재도 계속 진행되고 있다. ESRC에서는 국가기반 위협그룹에 대한 체계적인 인텔리전스 연구와 추적을 통해, 유사한 보안위협으로 인한 피해가 최소화될 수 있도록 관련 모니터링을 강화하고 있다”고 설명했다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.