7월 정보보호의 달을 맞아 전 세계 주요 사이버 공격그룹의 활동과 공격 사례를 통해 최신 공격 동향과 공격 목표 등을 알아보고 공격 대응 방안을 모색해 본다. 목표를 달성하기 위해 수단과 방법을 가리지 않는 공격자들은 공격 증거를 위조하고 다른 조직에게 뒤집어씌운다. 이러한 공격기법을 잘 파악하고 공격자를 추적하는 방어조직의 노력을 살펴본다.<편집자>
군·대북관련 정보 유출 시도 계속
남북 정상회담에 이어 북미정상회담까지 순조롭게 진행되면서 한반도에 평화 분위기가 무르익어가고 있다. 사석에서 사람들은 서울역에서 출발하는 기차를 타고 유라시아를 여행하는 꿈을 꾸며, 금강산과 백두산의 단풍놀이, 개마고원 트래킹을 기대한다는 내용으로 이야기꽃을 피우고 있다.
한반도 평화 분위기에 힘입었다고 할 수 있을까. 수시로 터져 나오던 북한발 사이버 공격이 최근에는 잠잠해졌다. 북한이 배후에 있을 것으로 추정되는 공격 중 일부는 북한의 공격방식을 정교하게 모방한 다른 그룹의 공격이라는 주장도 나오고 있다.
그러나 이러한 평화 분위기는 ‘폭풍전야’일 뿐이라는 경고도 있다. 실제로 남북정상회담, 북미정상회담과 관련된 내용을 위장한 악성문서가 군, 대북관련 기관과 사회단체 등을 타깃으로 유포되고 있다. 악성문서를 유포한 배후에 누가 있는지 아직 알 수 없지만, 군·대북관련 정보를 유출하려는 시도가 계속되는 것으로 추정된다.
이동근 한국인터넷진흥원 침해사고분석단장은 “평창동계올림픽 해킹 시도 외에 최근 몇 달간 우리나라를 향한 타깃 공격은 일상적인 첩보활동 수준인 것으로 분석된다. 그러나 대규모 타깃 공격의 정황이 발견되지 않다고 해서 안심할 상황은 아니다. 폭풍전야와 같이 고요한 상태라고 인식하고 경계를 늦추지 말아야 한다”고 경고했다.
역대급 파괴력을 가진 ‘올림픽 파괴자’
평창동계올림픽 IT 시스템 전체를 파괴하고자 했던 ‘올림픽 파괴자(Olympic Destroyer)’는 이전에 발견되지 않았던 역대급 규모의 공격으로 기록되고 있다. 개막식 직후 올림픽 운영을 위한 모든 시스템이 공격을 받았으며, 50여대의 핵심 시스템이 파괴됐다.
조직위는 개막식 직후 가장 먼저 사용하게 될 미디어센터, 선수촌 등의 서비스를 복구한 후 우선순위에 따라 시스템을 복구했으며, 모든 시스템의 계정정보를 변경해 추가 공격 시도를 막았다. 침해 시스템을 분석해 공격에 사용된 핵심 악성코드 2종의 시그니처를 빠르게 적용하면서 서비스가 정상적으로 재개되도록 했다.
조직위원회의 빠른 탐지와 정확한 대응으로 올림픽을 성공적으로 마치게 됐지만, 이 공격은 장기간 계획해서 치밀하게 준비된 것으로, 자칫 잘못하면 올림픽 운영에 심각한 지장을 초래할 수 있었다.
조직위가 사후 분석한 결과, 공격자는 지난해 12월부터 조직위원회의 계정을 탈취하고 타깃 맞춤형 악성코드를 개발한 것으로 파악됐다. 공격자는 조직위와 파트너사 시스템 구조를 파악하고 은밀하게 잠입시키는데 성공했으며, 글로벌 서비스를 위한 CDN 서비스를 교란시키고, 거의 대부분의 서비스를 중단시킬 수 있는 파괴적인 악성 행위를 저질렀다. 조직위가 발견한 악성코드는 총 41종이며, 대부분은 시스템 파괴를 위한 것이었고, 나머지는 계정 탈취 등 공격 준비를 위한 것이었다.
한국 전문성 갖춘 표적공격 집단
우리나라를 노리는 정교한 표적공격은 능숙한 한국어 실력을 갖추고 있으며, 한국 상황에 대한 전문지식이 있는 것으로 보인다. 예를 들어 북미정상회담 개최 여부를 두고 북한과 미국이 팽팽한 줄다리기를 하고 있을 때, 네이버 이메일을 이용해 이와 관련 내용을 위장한 멀웨어 ‘NavRAT’이 유포된 정황이 포착됐다.
시스코가 발표한 ‘NavRAT’ 보고서에 따르면 네이버 이메일을 통해 ‘미북 정상회담 전망 및 대비.hwp’라는 제목의 첨부파일을 다운로드하도록 유도하며, 파일을 열면 ‘NavRAT’라는 원격 접속 트로이목마가 다운로드되고, 사용자가 키보드로 PC에 입력하는 내용을 몰래 가로채 기록하는 키로깅 공격이 시작된다. 한국 사용자들이 주로 사용하는 HWP 형식 파일에 EPS(Encapsulated PostScript) 형식이 첨부돼 감염된 시스템에 악성 코드를 실행할 수 있게 설계돼 있다.
이스트시큐리티의 시큐리티대응센터(ESRC)는 우리나라 웹사이트에서 주로 사용되는 액티브X 취약점을 이용하는 공격에 ‘물탱크 작전(Operation Water Tank)’이라는 이름을 붙여 추적하고 있다. 이 공격은 수년 전 부터 우리나라 방위산업체, 금융보안업체, 국방기관, 대기업, 금융기업 등을 상대로 사이버 스파이 활동을 해 온 것으로 추정된다.
이들은 워터링홀 기법을 사용해 더 넓은 전문가 집단을 대상으로 정보를 수집한 것으로 분석되며, 남북정상회담 개최 전후로 4월부터 5월까지 특히 집중적으로 공격을 진행했다. 타깃 사용자들이 주로 방문하는 웹사이트에 취약점 코드를 삽입한 후 시차에 따라 변경해 탐지와 추적을 혼란스럽게 만들었다.
