킴수키의 새로운 캠페인 ‘골드드래곤’ 분석…C2 서버에 피해자 검증 프로세스 적용
[데이터넷] 북한 배후의 APT 그룹 킴수키(Kimsuky)가 우리나라를 넘어 아시아태평양 지역 혹은 그 이상으로 공격 범위를 확대하는 것으로 나타났다.
카스퍼스키 조사에 따르면 킴수키는 2019년 100여개의 공격 명령 서버(C2)를 운영했는데 올해 7월 603개로 6배 늘었다. 카스퍼스키는 C2 서버를 대규모 확대한 것은 아태 지역을 넘어 공격 범위와 규모를 확장하기 위한 준비 과정이라고 설명했다.
킴수키는 탈륨(Thallium), 블랙 반시(Black Banshee), 벨벳 콜리마(Velvet Chollima)라고도 불리며, 2013년 경부터 활발하게 활동하고 있다. 이들은 조직의 인프라를 숨기고 보안 연구원과 자동 분석 시스템이 페이로드를 확보하기 어렵게 만들기 위해 굉장히 빠른 주기로 도구를 업데이트하는 것으로 유명하다.
카스퍼스키 글로벌 위협 정보 분석팀(GReAT) 박성수 책임 보안 연구원은 킴수키가 지속적으로 전 세계 각지에 위치한 여러 상용 호스팅 서비스를 이용해 C2 서버를 구성하고 있음을 밝혀냈다. C2 서버는 공격자가 자신의 악성코드를 제어하고 구성원에게 악성 명령을 전송하고 스파이웨어를 통제하며 페이로드를 보내는 데 활용되는 서버다.
박성수 책임은 “킴수키 C2 서버가 급격히 늘어난 것은 한반도뿐 아니라 공격 국가를 확대해 더 많은 공격을 전개할 것임을 시사한다. 킴수키의 과거 공격을 돌이켜보면 아태 지역 정부와 외교 기관, 미디어는 물론 암호화폐 업체까지도 공격 대상이 될 것”이라고 경고했다.
한반도 지정학적 이슈 이용하는 APT 공격 발견
한편 카스퍼스키는 한국의 언론인과 외교, 교육기관을 노리는 또 다른 공격을 확인했는데, 이번 공격은 피해자가 실제로 목표로 한 그 대상이 맞는지 확인하는 프로세스가 포함돼 있어 사이버 수사 당국의 함정수사를 피하면서 실제 목표로 한 사람을 정밀 타격하고자 했다.
골드드래곤(GoldDragon) 클러스터라고 불리는 이 공격은 ‘2022년 아시아 리더십 컨퍼런스 일정’, ‘사례비 요청 양식’, ‘호주 외교관 이력서’ 등 다양한 주제의 콘텐츠가 포함돼 있었다. 특히 한반도 지정학적 이슈와 관련된 내용이 포함돼 있다.
박성수 연구원은 골드드래곤 클러스터와 관련된 서버측 스크립트를 찾아냈고, 공격 조직의 C2 운영 구조를 밝힐 수 있었다.
공격자는 스피어피싱 이메일을 보내고, 피해자가 링크를 클릭하면 첫 번째 C2 서버로 연결된다. 이때 이메일 주소가 파라미터로 전송된다. 첫 단계 C2 서버에서 수신 이메일 주소 파라미터가 목표했던 주소가 맞는지 확인하고, 목표 대상에 해당하면 악성 문서를 전송한다. 또한 첫 단계 스크립트는 피해자의 IP 주소를 다음 단계 서버로 보낸다.
다운로드된 문서가 열리면 두 번째 C2 서버로 연결된다. 두 번째 C2 서버에 해당하는 스크립트가 첫 단계 서버에서 전달한 IP 주소가 동일한 피해자에서 예상된 요청이 맞는지 확인하는 작업을 수행한다. 이 IP 검증 과정을 통해 공격자는 수신되는 요청이 피해자로부터 온 것인지 아닌지 확인할 수 있다.
공격자가 여러 가지 다른 프로세스를 사용함으로써 OS 유형 및 사전 정의된 사용자 에이전트 문자열을 확인하는 등 다음 페이로드를 신중하게 전달할 수 있다.
박성수 연구원은 “킴수키는 끊임없이 악성코드 감염 체계를 발전시키고 분석을 저해하기 위해 새로운 기법을 사용하고 있다. 킴수키의 전체 감염 사슬을 알아내기 어렵지만, 가장 최근 분석에서 C2 서버에 피해자 검증 방법론을 도입했다는 사실이 밝혀졌다. 서버측 개체를 확보하기 어렵지만 공격자 서버 및 피해자측의 악성코드를 분석하면 킴수키 인프라의 운영 방식과 이들이 사용하는 기법을 완벽히 파악할 수 있을 것”이라고 설명했다.
카스퍼스키는 이러한 공격에 대응하기 위해 완벽한 가시성을 확보한 방어가 핵심이라고 설명했다. 공격의 일부만 파악하는 부분적인 방어로는 불충분하며, 보안팀과 전문가들이 위협의 배경 전체를 파악해야 하므로 카스퍼스키 위협 인텔리전스 포털과 같이 심층적인 실시간 보기와 분석을 제공하는 서비스를 이용할 것이 권고된다.
방어 지점을 다각화하고, 다른 업계와 협력해야 한다는 점도 강조했다. 특히 협력은 산업 부문별로 강점과 전문성이 다르며, 사이버 위협의 다양한 측면을 이해하고 보다 효율적인 공격 대응 전략을 세우는 데 필수라고 강조했다.
