지속적인 해킹으로 습득한 지식·취약점 도구 이용해 공격 이어가
[데이터넷] 도미노처럼 연쇄적인 피해를 입히는 ‘골드고블린(GoldGoblin)’ 공격이 공개됐다.
한국인터넷진흥원(KISA), 경찰청안보수사국, 사이버안보센터, 안랩, 카스퍼스키 등이 조사해 공개한 ‘TTPs #10: 오퍼레이션 골드고블린- 제로데이 취약점을 이용해 선별적으로 침투하는 공격전략 분석’ 보고서에 따르면 이들은 국내 인터넷 뱅킹용 보안 소프트웨어 개발사 소스코드를 탈취해 취약점 코드를 개발하고, 이를 이용해 보안에 취약한 언론사 기사 페이지 등에 악성 스크립트를 삽입해 사용자를 감염시키고, 호스팅 업체를 이용해 명령제어지를 구축했다.
이 보고서는 61개 기관에서 감염된 207개 PC를 분석한 것이다.
공격자는 보안 관리가 취약한 영세 기업의 웹사이트와 특정 그룹웨어 솔루션의 파일업로드 취약점을 악용해 웹서버 침투 후 명령제어지를 구축했다. 이 회사는 인터넷뱅킹 보안 소프트웨어 개발사로, 국내 점유율 20%에 이른다.
공격자는 이 취약점으로 언론사 웹사이트를 해킹해 워터링홀 사이트로 악용했으며, 언론사 기업 내부의 특정 보안 프로그램의제로데이 취약점을 이용해 침투했다. 그리고 뉴스 서버를 장악해 특정 보안 프로그램의 제로데이 취약점을 악용할 수 있는 워터링홀 페이지를 구축했다. 사이트 방문자를 감염시키면 악성코드가 자동으로 시작되도록 설명했는데, 악성 서비스 이름은 WinRMSvc, 리얼테크, 마이크로소프트 리커버 데이터 플러그인 매니지먼트 서비스 등 정상 서비스와 프로그램 이름으로 위장했다.
공격자는 오랫동안 국내 기업·기관 타깃공격을 진행하면서 수집한 정보를 공격 도구로 악용하고 있다. 2020년 오퍼레이션북코드(Operation BookCodes)에서 보안 소프트웨어 개발사 소스코드 탈취가 이뤄졌으며, 기존 침해사고 공격에서 획득한 자원을 통해 취약점을 연구한 것으로 보인다. 또한 이 당시 다수의 언론사의 뉴스사이트가 침해당한 이력이 확인됐다. 해킹당한 언론사는 지속적으로 공격당하고 있으며, 공격 자원으로 악용되고 있다.
2018년 해킹도 이번 사고까지 이어졌다. 이들은 호스팅, 그룹웨어 개발 업체를 해킹해 ‘폴칠(FALLCHILL)’ 악성코드를 감염시켰다. 당시 그룹웨어 개발 업체는 소스코드 백업서버까지 탈취됐으며, 이번 사고 악성코드의 명령제어지 대다수는 2018년 이전에 공격받은 개발업체의 그룹웨어 페이지였다.
보고서는 “해킹 사고가 지속생하고 있으며, 보안 요구 사항은 점점 더 까다로워지고 있다. 방어 시스템의 기능은 매우 높은 수준으로 발전하고 있지만, 방어 체계를 잘 갖춘 기업도 침해당한다”며 “공격자는 공격도구를 바꿀 수 있지만, TTPs는 쉽게 바꾸지 못한다. 공격자의 TTPs가 방어자 환경에 유효한 것인지 여부와 유효하다면 TTPs를 무력화 할 수 있는 방어 전략은 무엇인지 파악해야 한다. KISA는 TTPs를 파악하고, 어택 프레임워크 기반으로 작성, 배포해 공격을 이해할 수 있도록 돕고 있다”고 말했다.
