[데이터넷] 사이버 범죄 조직은 하나의 보스 아래에서 단일대오로 활동하지 않는다. 배후 세력과 공격 목표, 사용하는 범죄 도구 등에 따라 분리되기도 하고 다시 뭉치기도 한다. 공격 도구와 전술·전략을 공유하거나 모방하고 때로 훔치기도 한다. 다른 조직이 사용한 공격 기지를 무단으로 점유해 사용하는 경우도 많다.

NSHC가 5일 공개한 ‘2019년 섹터A(SectorA) 그룹들의 해킹활동 분석’ 보고서에 이러한 내용이 상세히 설명돼 있다. 이 보고서에서 ‘그룹들’이라고 표현한 것은 섹터A로 분류되는 공격 내에 또 다른 공격 방식이 보이기 때문이다. 섹터A라는 큰 우산 아래 여러 공격조직이 활동하고 있다는 뜻이다.

새로운 해킹 기법 채택하며 변신 시작

섹터A는 북한 정부 지원을 받는 공격그룹 중 하나로, NSHC는 섹터A 그룹 내 여러개의 하위 조직을 추적하고 있다. 이들은 우리나라 정치·외교 정보를 수집하는 것 뿐 아니라 미국, 동남아시아, 남미 등 전 세계를 상대로 사이버 스파이와 외화벌이 활동을 벌이고 있다.

이들은 2018년부터 악성코드 제작 기법과 해킹 기법을 변화시키고 있다. 한글(HWP) 파일 형태의 악성코드를 이용한 스피어피싱 해킹 기법과 더불어 이메일 접속 비밀번호를 탈취하기 위해 피싱을 활용한 해킹 기법, 그리고 스크립트 형태의 악성코드를 활용한 해킹 기법까지 기술적인 변화를 보여주고 있다.

이들은 지난해 3월부터 새로운 해킹 기법을 채택하면서 변화를 꾀하고 있다. 4월에는 기존 주요 타깃인 동아시아·북미 지역을 벗어나 ▲이스라엘, 터키, 팔레스타인을 포함한 중동지역 ▲중국, 한국을 포함하는 동아시아 지역 ▲우크라이나, 슬로베니아를 포함하는 동유럽지역 ▲스리랑카, 베트남을 포함하는 동남아시아 지역 ▲미국을 포함하는 북미 지역을 상대로 공격을 시도했다.

해킹 기법은 대체로 악성코드를 첨부한 스피어피싱을 활용하고 있으나, 해킹 대상 인물과 조직이 포함된 지역의 특성에 따라 한글 파일 형태의 악성코드, 마이크로소프트 워드 파일 형태의 악성코드를 선택적으로 활용하고 있다. WinRAR에 존재하는 취약점을 악용하는 RAR 파일 형태의 악성코드도 활용하고 있으며, 워터링 홀 공격 기법도 사용하고 있다.

정부·기업·일반인까지 공격 범위 확장

이들은 한국과 동아시아 지역에서는 정치·외교와 관련된 정보 탈취와 가상화폐·금융정보 탈취를 통한 금전 수익을 목적으로 한다. 그 외의 지역에서는 군사 무기와 관련된 군사 정보 탈취, 섹터A와 관련된 외교 활동을 진행 중인 국가의 외교 정보를 탈취하기 위한 목적으로 활동 중에 있다.

섹터A의 지원을 받는 해킹 그룹들의 해킹 활동이 군사, 외교, 정치 그리고 금융 정보 탈취 목적에 이르기까지 다양한 목적으로 이뤄지고 있으며, 민간인, 일반 기업, 정부 기관 등 다양한 공격 대상을 목표로 삼고 있다. 특히 지난해 11월에는 5개의 해킹단체가 활동하는 등 공격 범위와 방법을 다각화하고 있다.

각국 정부 고급 정보 수집 위해 활동

정보수집을 위해 주로 활동하는 그룹은 섹터A02, 섹터A05, 그리고 섹터A05에서 분파된 섹터A07이 있다.

이 중 섹터A02는 가장 다양한 해킹 전략과 기법을 활용하는 그룹으로 주로 우리나라 정부 기관과 정치 활동 관련 고급 정보를 수집하기 위해 활동해왔으나 지난해 일본, 인도 등 아시아 전역, 유럽, 북미까지 광범위한 지역 국가를 대상으로 공격 범위를 확장했다.

단순 피싱에서부터 악성코드가 첨부된 스피어 피싱 그리고 고도의 사회공학 기법을 포함한 이메일과 카카오톡 메신저, 한글 파일, MS 오피스 워드·엑셀 파일, 음성파일 등 다양한 도구를 이용한다. 이력서, 학회장 선거 공고문, 보고서, 가상화폐 등 다양한 주제로 해킹 전략과 기법을 개발하고 실전에 활용하고 있다.

섹터A05는 우리나라 정부와 러시아어 기반 국가 대상 해킹 활동을 해왔는데, 지난해에는 동아시아, 유럽, 미국 등 다른 지역에서도 발견된다. 정보수집 활동을 위해 정부기관의 공문, 북한 경제 제재, 핵 개발, 잠수함, 전문가 자문요청 문서 위장 내용 등을 이용한다.

섹터A05 그룹에 포함된 소규모 그룹이 독립한 섹터A07은 국가 기밀정보, 국방정보, 금융 정보 탈취 등을 목표로 한다. 아시아, 유럽, 남미에서 활동이 발견되고 있으며, 국방부 MOU 계약 관련 내용을 위장하는 등의 다양한 방법을 택하고 있다.

NSHC 보고서는 섹터A07이 분리해 독립한 것을 두고 섹터A 그룹의 조직개편과 전략적인 해킹 목적 방향성이 정리되고 개별 그룹에 대한 목표가 명확해졌다고 설명했다.

섹터A03 그룹은 영국, 홍콩, 미국, 중국, 싱가폴에서 주로 활동하고 있다. 새해 인사, 한국과 연관된 명절 또는 한국, 북한에 관련된 뉴스 기사 또는 이미지를 테마로 활용해 해킹을 수행했다. 이들은 스피어 피싱 이메일에 이미지, 문서, 화면보호기 파일로 위장된 악성코드를 첨부했으며 실행 시 정상 이미지, 문서 화면을 띄우고 파일 내 리소스 영역에 저장된 페이로드를 메모리에 업로드 하고 실행하는 방식을 사용했다.

금전 수익 위해 금융기관 노려

섹터A01과 섹터A04는 주로 금전적인 목적으로 활동을 벌이고 있으며, 특히 섹터A01은 아프리카, 동남 아시아, 남미 지역 금융 공격을 일으켰다.ㄷ 지난해 유럽, 중앙아시아까지 세력을 확장했다. MS 오피스 문서를 이용한 스피어피싱을 주로 사용했으나 하반기부터 입사지원서 입력 프로그램으로 위장한 프로그램도 사용했다.

일반 기업과 공공기관을 공격하기 위해 위장 한글문서를 이용하기도 했다. 맥OS와 윈도우 운영체제를 사용하는 PC를 대상으로 허위 암호화폐 거래 프로그램을 배포해 암호화폐를 보유한 거래자들을 대상으로 해킹 활동을 수행했다.

섹터A04 그룹은 한동안 활동이 발견되지 않았는데, 8월 한국 보안 업체에서 발행한 전자 서명을 활용한 악성코드로 공격을 시도한 정황이 발견됐다. 10월에는 인도 금융기관의 ATM 대상으로 해킹 활동을 수행했으며, 해킹 된 ATM 기기를 통해 입력되는 카드 정보를 탈취한 후 실제 현금을 탈취하기 목적으로 해킹 활동을 수행한 것으로 판단된다.

핀란드, 이스라엘, 인도, 한국, 태국, 미국, 러시아, 일본, 필리핀에서 이들의 해킹 활동이 발견됐다. 해당 그룹은 인도에 위치한 쿠단 쿨람 원자력 발전소(KKNP)를 대상으로 정보 수집 목적을 갖는 D트랙 악성코드를 사용해 해킹 활동을 수행했으며, 악성코드 내부에서 하드 코딩 된 발전소 관련 IP와 계정 정보가 발견됐다.