“한국 타깃 공격, 북한 연계성 밝혀지지 않았다”
상태바
“한국 타깃 공격, 북한 연계성 밝혀지지 않았다”
  • 김선애 기자
  • 승인 2015.11.10 17:17
  • 댓글 0
이 기사를 공유합니다

안랩 ‘검은광산작전’ 보고서 “최근 우리나라 타깃 공격, 3·20 공격집단이라는 근거 못 찾아”

최근 몇 년간 우리나라에서 발생하고 있는 사이버 공격의 배후에 북한이 있다는 의혹이 사실처럼 여겨지고 있으나, 실제과 북한과의 연계가 확실하게 밝혀졌다고 할 수 없다. 이러한 가운데, 안랩이 최근 발표한 ‘검은광산 작전’ 분석보고서에서는 최근 우리나라 주요 기업 및 기관에 대한 공격이 북한과 명백하게 상관이 있다는 사실이 밝혀지지 않은 것으로 분석돼 주목된다.

국내 에너지·금융·통신 등 다양한 기업/기관 공격

안랩은 지난해 5월부터 올해 7월까지 특정 그룹이 동일한 유형의 악성코드를 이용해 국내 여러 기관과 기업을 공격하는 정황을 포착해 추적했다. ‘검은 광산 작전(Black Mine Operation)’이라고 명명한 이 조사를 통해 안랩은 해당 악성코드가 3·20 전산망 장애나 6·25 사이버 공격을 일으킨 그룹과의 명백한 연관성을 확인하지 못했다고 설명했다.

안랩은 추적하고 있는 공격그룹의 악성코드는 공통적으로 파일 후반부에 ‘BM’으로 시작하는 영역이 존재하고 있어 ‘검은광산작전’이라는 이름을 붙여 1년 이상 공격그룹을 추적했다. 안랩은 ASD(AhnLab Smart Defense) 시스템을 통해 관련 정보를 수집·분석했으며, ‘Bmdoor’ 악성코드가 공통적으로 사용되고 있는 것을 분석했다. 조사기간 동안 240개 이상의 악성코드가 수집됐으며, 파워포인트를 보여주는 실행파일로 가장해 특정 대상을 공격한 것으로 나타났다.

안랩이 파악한 공격 대상은 우리나라 에너지, 교통, 통신, 방송, IT 기업, 금융, 정치 분야 등이며, 2014년 7월과 2015년 3월에는 국내 웹사이트를 해킹해 일반인을 상대로 악성코드를 퍼뜨리기도 했다.

▲국내 특정 기업과 기관 대상으로 한 표적 공격 Bmdoor 유포 방식(출처: http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=24229)

졸업앨범·동문회 초청장 등으로 위장해 공격

공격자는 Bmdoor 악성코드를 이용해 국내 특정 기업과 기관을 대상으로 하는 표적 공격, 그리고 일반 사용자 대상 공격을 시도했다.

기업과 기관을 대상으로 삼은 경우에는 Bmdoor 악성코드를 업무 관련 파일이나 공격 대상이 흥미롭게 생각하는 졸업 앨범, 동문회 초청장 등으로 위장했다. Bmdoor 악성코드가 실행되면 정상적인 파워포인트 실행 화면이 나타난다. 이는 공격자가 미리 공격 대상이 열어볼 만한 주제의 파워포인트 자료를 준비한 후, 파워포인트 프로그램이 설치되지 않은 PC에서도 자료를 볼 수 있게 만들어주는 프로그램을 이용하여 만든 정상 실행 파일이다.

파워포인트 화면이 열림과 동시에 실제 악성 행위를 하는 악성코드(Bmdown, Bmbot 유형의 악성코드)도 내부에서 실행된다. 공격 대상은 아무 의심 없이 정상적으로 파워포인트 자료를 보게 되지만, 동시에 악성코드가 실행되는 것은 인지하지 못한다.

현재까지 감염 보고된 기관이나 기업은 에너지, 교통, 통신, 방송, IT, 금융, 정치 관련 기관 등이 있다. 아래는 표적공격으로 추정되는 Bmdoor 변형을 실행했을 때 나타나는 파워포인트 자료이다.

국내의 일반 사용자를 대상으로 공격이 이뤄진 경우로는 주로 유명 프로그램의 취약점을 통해 Bmdoor 악성코드가 유포됐다. 대표적인 예로 2014년 7월 7일 취약점을 이용해 감염시킨 사례가 있다. 사용자가 사전에 해킹된 웹사이트에 접속 했을 때 국내에서 많이 사용되는 소프트웨어와 어도비 플래시 취약점(CVE-2014-0515)을 이용해 감염시킨 것이다.

“과거 공격 세력과 일부 연관성 있지만 동일하지 않아”

검은 광산 작전에는 다양한 악성코드가 이용됐다. 공격에 이용된 Bmdoor는 정상 실행 파일처럼 보이지만, 파일 끝부분에 암호화 돼 숨겨진 악성코드가 메모리에서 실행된다. 암호화된 영역이 ‘BM’ 문자열로 시작하는 것이 특징이며, 분석가와 자동분석 시스템을 우회하려는 기능을 포함한 경우가 많다.

Bmdoor는 공격에 사용되는 악성코드를 시스템 메모리에 올려주는 로더(Loader)로써 실행되면 암호화되어 있는 다른 악성코드를 실행시킨다. Bmdoor 내에는 공격자 서버에서 추가 악성코드 파일을 다운로드하는 다운로더(Bmdown로 명명), 원격 제어로 정보 수집 등을 할 수 있는 봇(Bmbot으로 명명), 이미 알려진 원격 제어 툴을 이용한 형태로 3가지 종류가 있다.

Bmdoor 악성코드는 2014년 5월 최초로 발견돼 현재까지 지속적으로 그 변형이 확인되고 있다. BM 시그니처로 시작하는 메모리 영역 내에 토르(TOR) 네트워크 상으로 통신하는 Bmbot A형 악성코드가 포함되어 있다.

안랩은 과거 국내에서 발생한 대형 보안 사건을 일으킨 그룹에서 사용한 악성코드와 공격 기법 등을 비교해 검은 광산 작전의 공격 추정 세력과 이들 그룹과의 연관성을 검토했다. 그 결과 일부 유사성이 있으나 동일한 유형이라고 보기는 어렵다는 결론에 이르게 됐다고 밝혔다. 다만 공격그룹과 교류하거나 협력하고 있는 관계로 추정할 수 있는 근거는 있다고 설명했다.

더불어 검은광산 공격 그룹은 2015년 여름 이후 활동이 주춤하지만 이는 새로운 공격을 준비하거나 기존에 사용하던 악성코드를 변경했을 가능성이 있다고 덧붙였다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.