카스퍼스키랩(www.kaspersky.com)은 우리나라 주요 기관을 노린 사이버 스파이가 발견됐다고 12일 발표했다.
‘Kimsuky’로 명명된 이번 사이버 스파이 활동은 세종연구소, 한국국방연구원(KIDA), 통일부, 현대상선, 통일생각 등 중국 및 대한민국의 주요 기관을 대상으로 한 제한적이며 고도로 표적화된 공격이다.
사이버 스파이 활동의 초기 징후는 4월 3일부터 시작됐으며, Kimsuky 트로이목마 샘플은 2013년 5월 5일 최초로 발견됐다. 해당 샘플은 비교적 단순한 스파이 프로그램으로 몇 가지 기본 코딩 오류가 있었으며, 해킹된 컴퓨터와의 통신은 불가리아의 웹 기반 무료 이메일 서버(mail.bg)를 사용했다.
악성코드가 어떻게 감염됐는지 파악되지 않았지만, 카스퍼스키랩은 이메일을 이용한 ‘스피어피싱’ 공격을 이용한 것으로 보고 있다. 이 공격은 키보드입력 기록과 디렉터리 목록 수집, 원격 제어, HWP 문서 유출 등을 시도한 것으로 나타났다.
Kimsuky 악성 코드에는 HWP 파일만을 유출하는 전문 악성 코드가 포함돼 있어 해킹의 주요 목적이 HWP 문서 파일의 유출임을 보여준다.
카스퍼스키랩은 공격자가 북한인이라고 추측한다고 밝혔다. 해킹의 대상이 된 기관이 국내외 정세를 연구하는 민간 기관, 국방정책 전반을 연구하는 정부출연 기관, 국적 해운 회사, 통일 관련 그룹 등 이었다는 이유를 든다.
또한 악성코드에 ‘공격’ ‘완성’ 등 한국어로 된 문자열이 있었으며, 악성 코드의 동작 상태와 감염된 시스템에 대한 정보를 첨부 파일로 전달할 때 사용된 두 개의 이메일 주소(iop110112@hotmail.com, rsh1213@hotmail.com)가 'kim'으로 시작되는 이름(kimsukyang과 Kim asdfa)으로 등록됐다.
안랩 보안제품 일부 기능 무력화
Kimsuky 악성 코드의 또 다른 지역적 특징은 ‘안랩’의 보안 제품만을 대상으로 하여 그 일부 기능을 무력화한다는 것이다. 카스퍼스키랩의 상세 분석보고서에는 ‘안랩 제품의 방화벽을 무력화 시킨다’고 주장했다.
안랩은 즉각 반박자료를 발표하고 “악성코드에 안랩 보안제품의 일부 기능을 무력화하는 시도가 있으나, 실제로 무력화에 성공하지 못한다는 것을 확인했다”고 주장했다.
안랩의 자료에 따르면 해당 악성코드에는 윈도우 자체 방화벽을 무력화 하는 시도와 안랩 PC 보안 제품의 방화벽을 무력화 하는 시도가 있으나 안랩의 V3 제품은 자체보호기능을 통해 악성코드 무력화 시도가 동작하지 않는다는 사실을 확인했다.
안랩 관계자는 “특정 보안 제품만을 공격하는 것은 APT 공격의 공식처럼 일반화됐다. 최근 APT는 지능화되고 타깃화 된 공격을 통해 목표 조직이 사용하는 보안 제품을 우회하거나 무력화하려고 시도한다”며 “해커는 이미 사전에 목표 기관에 대한 조사를 실행하고, 목표기관이 사용하고 있는 백신이 자신의 악성코드를 진단하는지 못하는지 테스트하는 치밀함을 보여준다”고 설명했다.
