2020년 10월 해킹 관련 뉴스: 김수키, 맥아피, GRU, 74455

출처#1. zdnet.co.kr/view/?no=20201016131841

출처#2. view.asiae.co.kr/article/2020101918145028945

출처#3. biz.chosun.com/site/data/html_dir/2020/10/19/2020101902116.html?utm_source=naver&utm_medium=original&utm_campaign=biz

출처#4. n.news.naver.com/article/025/0003044703

출처#5. n.news.naver.com/article/023/0003569889

---

ㅇ 북한 해킹 최신 유행은 'DOC·난독화·다음 메일'

 

ㅡ 최근 발생한 북한발 사이버공격에서 공통점이 관찰되고 있다.

주로 다음 메일 계정을 이용하고 있으며, 과거와 달리 한글 문서(HWP)가 아닌 워드 문서(DOC)로 악성파일을 제작한 점, 같은 방식으로 코드를 난독화한 흔적들이 포착됐다.

 

ㅡ 국내 보안 기업 이스트시큐리티는 북한 정부가 배후인 것으로 추정되는 해킹 조직 '탈륨'의 최근 공격 사례들을 분석, 이같은 특징을 보이고 있다고 지난 13일 밝혔다.

탈륨은 김수키라는 이름으로도 불리는 해킹 조직이다.

국내에서는 주로 방위 산업체, 대북·외교 분야 종사자, 탈북민 등을 대상으로 공격을 시도해왔다.

지난해 마이크로소프트가 탈륨을 상대로 버지니아주 연방 법원에 고소장을 제출하고 해킹 행적을 알리기도 했다.

 

ㅡ 이스트시큐리티 시큐리티대응센터(ESRC)는 지난달 16일, 29일, 그리고 이달 6일 발견된 악성파일들을 분석했다.

각각 '서면인터뷰 질의내용', '북한인권백서-2020', '학술회의 개최'라는 파일명의 워드 문서(DOC) 파일로 제작됐다.

ESRC는 최근 한글 문서(HWP) 취약점보다는 DOC 악성 매크로를 이용한 공격이 주를 이루는 특징이 보인다고 분석했다.

악성 메일에서는 통일부 북한인권기록센터 사무관을 사칭하고, 유창하지만 맞춤법 실수가 포함된 한국어 문구 등이 발견됐다.

분석된 악성 문서 파일들은 작성자명이 일치했다.

ESRC는 북한 폰트 사용 흔적과, 탈륨이 공격에 사용해온 데이터가 발견된 점 등을 근거로 공격 배후를 추정했다.

 

ㅡ 악성 매크로 코드 내에서 공격자가 감염된 기기에 공격을 전달하는 명령제어(C2) 서버 통신 관련 내용이 같은 방식으로 난독화된 점도 공격의 배후가 일치하는 근거로 봤다.

C2서버에서 전달되는 명령 내용도 거의 동일한 것으로 나타났다.

악성파일 유포 수단으로는 국내 메일 서비스를 이용했다.  

문종현 ESRC 센터장은 "탈륨 조직의 최근 공격들을 살펴볼 때, 국내 메일 서비스인 '다음 메일'을 주로 이용해 악성파일을 유포하고 있다"고 첨언했다. 

 

---

ㅇ "北 해킹조직 '김수키', 러 방산업체 사이버공격"

 

ㅡ 북한의 해킹조직인 '김수키'가 기밀정보를 얻기 위해 러시아 방산업체를 공격한 것으로 알려졌다고 러시아 언론이 보도했다.

러시아로부터 우주 및 항공분야 기밀정보를 캐내기 위해 피싱 이메일 방식으로 해킹에 나섰던 것으로 파악된다.

 

ㅡ 19일(현지시간) 러시아 일간 코메르산트에 따르면 북한 해커조직인 김수키는 피싱 이메일 방식으로 러시아 방산업체에 수차 해킹공격을 시도한 것으로 알려졌다.

공격 대상에는 러시아 국영 무기수출기업인 로스테흐도 포함된 것으로 알려졌다.

김수키의 해커들은 올해 봄 러시아의 우주 및 항공분야 기업들의 기밀정보를 캐내기 위해 신종 코로나바이러스감염증(코로나19) 관련 주제, 구인광고 등을 피싱메일로 보냈던 것으로 알려졌다

 

ㅡ 김수키는 북한 정부의 지원을 받는 해킹 조직으로 알려져 있으며, 벨벳천리마, 블랙밴시 등 다른이름으로도 알려져있다. 북한의 대표적 해킹 그룹 라자루스와 협력하는 조직이라고 코메르산트는 전했다.

 

김수키는 지난 2010년부터 한국 내 목표물들을 집중적으로 공격했으나, 이후 공격 범위를 넓혀 러시아, 우크라이나, 슬로바키아, 터키 등의 대포ㆍ장갑차 생산 분야 업체들도 공격한 것으로 추정된다.

앞서 원전설계도 등이 유출된 2014년 한국수력원자력 해킹사고의 배후로도 알려져있다.

---

ㅇ "바이든 캠프 공격 中 해커들 '맥아피' 백신 가장해 해킹시도"

 

ㅡ 11월 미국 대선을 앞두고 민주당 조 바이든 후보에 대한 해킹 공격을 진행한 것으로 알려진 중국 해커 단체가 백신 프로그램인 ‘맥아피(McAfee)’를 사칭해 맬웨어(악성 소프트웨어) 공격을 하고 있는 것으로 드러났다.

16일(현지 시각) 미 정보기술(IT) 전문지 더 버지에 따르면 구글이 ‘고도지속위협 31번(APT-31)’이라고 부르는 이 단체는 이메일을 통해 불특정 다수의 유저들에게 ‘맥어피 정식 버전을 다운받으라'며 프로그래밍 소스 공유 사이트인 깃허브(GitHub)와 연결되어 있는 맬웨어를 다운받도록 유도한 것으로 추정된다.

구글은 앞서 바이든 캠페인의 고위급 인사들을 대상으로 이메일 해킹 공격을 진행했다가 적발당한 해커 단체가 APT-31과 동일한 단체인 것으로 보고 있다.

 

미 대선을 앞두고 해커들의 공격이 적발된 것은 이번이 처음이 아니다.

지난 12일(현지 시각) 마이크로소프트(MS)는 미국 대선 관련 서비스를 겨냥한 대규모 해킹활동을 적발했다고 밝힌 바 있다. MS는 앞서 지난 9월에도 러시아 군사정보국(GRU)의 해커들이 미 정당 및 기관 컴퓨터 200여개에 침입을 시도했으며, 그 외 중국, 이란 해커들이 바이든 대선캠프 관계자들을 겨냥한 피싱 공격을 진행했으나 대부분 MS의 보안 소프트웨어에 의해 차단됐다고 밝혔다.
구글 측은 APT-31의 영향을 받은 단체를 특정하지는 않았지만, "11월 미국 대선을 앞두고 이같은 해커 단체들로부터의 공격이 더욱 잦아지고 있다"며 주의를 요했다.

---

ㅇ ‘흑표전차 연구소’ 하루 10번꼴 해킹 당한다…中이 1위

ㅡ 강대식 국민의힘 의원실이 ADD로부터 제출받아 19일 공개한 자료에 따르면, 2015년부터 지난 8월 말까지 연구소 서버에 대한 해킹시도는 총 1만1659차례 있었다.
2015년부터 3년간은 1059건(2015년), 1209건(2016년), 1308건(2017년)에 불과했지만, 2018년엔 2281건을 기록했고 지난해 3240건으로 증가했다. 4년 만에 3배 이상으로 늘어난 것이다.

올해도 증가세가 계속되고 있다. 8월 말까지만 2562건으로, 하루 평균 10회 이상 해킹 공격을 받았다.

ㅡ 해킹 유형으로는 홈페이지나 서버의 취약점을 파고들어 시스템 접속을 시도하는 방식이 43.6%로 가장 많았다.

시스템 상태나 운용환경 등의 정보수집을 목적으로 한 공격은 19.4%, 시스템 관리자 권한 획득이나 권한 상승을 위한 시도는 13.8%였고 이메일을 통한 해킹이나 악성코드를 감염시키는 등의 기타 유형이 23.1%였다.

 

ㅡ 강 의원 측은 이와 관련해 특히 중국 IP를 통한 해킹시도가 증가한 것에 주목하고 있다.

해킹시도 IP의 국가별 현황을 살펴보면, 2015년부터 4년간은 미국이 가장 많았다.

지난해 미국 IP를 통한 해킹시도는 841건, 중국 IP를 통한 시도는 424건으로 나타났다. 

그러나 올해는 미국이 543건, 중국이 549건으로 수치가 역전됐다.

강 의원은 "북한 IP의 경우 애초에 국제사회에서 원천 차단하고 있기 때문에 북한 IP를 통한 해킹시도는 사실상 불가하다는 게 ADD의 설명이지만, 북한이 다른 국가 IP로 우회해 서버에 접근하는 건 얼마든지 가능하다"며 "중국이 그 주요 통로가 될 수 있는 상황이다. 중국 IP를 통한 해킹시도 증가에 주목해야 하는 이유”라고 말했다.

 

ㅡ 또 ADD는 홈페이지 서버 등에 대해선 해킹 방어 체계를 갖춰놓고 현황을 관리하고 있지만, 개별 직원들의 PC나 모바일 기기 등에 대해선 보안시스템을 구축하지 않은 것으로 나타났다. 

현황 관련 자료도 연구소 서버에 대한 해킹 시도 건수만 공개하고, 실제 해킹에 성공해 피해를 본 사례나 현황, 직원들에 대한 해킹 공격 등에 대해선 자료 제출 요구에 응하지 않고 있다고 강 의원실은 전했다.

강 의원은 “ADD에선 최근 직원 수십명이 허가 없이 기밀을 외부로 유출하는 사건이 발생하기도 했다”며 “직원 개인 PC나 모바일 기기에 대한 해킹 대비 시스템도 필요하다”고 말했다. 이어 “최고 보안 등급을 부여받은 국가 주요 기관인 만큼 해킹 공격을 막고 현황을 관리하는 것을 넘어 해킹 시도의 배후와 목적을 파악하는 데도 힘을 쏟아야 한다”고 덧붙였다.

---

ㅇ평창 올림픽 개막식날 사이버테러, 알고보니 러시아 소행이었다

 

ㅡ 2018년 2월 평창올림픽 개막 당시 세계 곳곳에서 일어났던 해킹 사태가 러시아 군 정보기관이 주도했던 것으로 미·영 양국 조사결과 드러났다.

 

ㅡ 미국 법무부와 영국 외무부는 19일(현지시간) 러시아 군 정보기관이 2018년 평창동계올림픽 때 사이버공격을 했다고 밝혔다.
미 법무부는 이날 보도자료를 내고 평창올림픽과 2017년 프랑스 선거, 우크라이나 전력망 등에 대한 사이버 공격 혐의로 유리 세르게예비치 안드리엔코 등 러시아 군 정보기관 요원 6명을 기소했다고 밝혔다.
법부무 발표와 외신 보도들을 종합하면 이들은 평창올림픽 개막식 동안 경기를 지원하는 수천 대의 컴퓨터 데이터를 지워 작동 불능 상태로 만드는 악성코드 공격을 진행했다. 이 공격으로 피해를 입은 국가는 올림픽 개최국인 한국을 비롯해 프랑스·조지아·네덜란드·우크라이나·영국·미국 등으로 파악됐다.

 

ㅡ 미 법무부는 러시아가 이 같은 사이버 공격을 진행하게 된 데 대해 “당시 러시아 선수단이 정부 주도 도핑 시도로 러시아가 국기와 국가 없이 참석하도록 IOC의 결정이 나오면서 이 같은 공격이 진행됐다”고 설명했다.
미·영 사법당국의 발표에 따르면 공격 주체는 러시아 군 정보기관인 정찰총국(GRU)의 ’74455′ 조직이다.

 

ㅡ 이들이 평창올림픽·패럴림픽 당시 수백여대의 컴퓨터 손상, 인터넷 접근 마비, 방송 피드 교란 등 작업을 했고, 이 공격이 중국이나 북한 해커가 한 것처럼 꾸며졌다고 설명했다.
실제 2018년 2월 9일 평창올림픽 개막식 도중 조직위원회와 주요 후원사들이 사이버 공격을 받고 메인프레스센터에 설치된 IPTV가 꺼지고 조직위 홈페이지에 접속장애가 발생하는 일이 벌어졌다고 한다.
이로 인해 조직위 서비스 인증 서버와 데이터베이스 서버가 파괴되면서 수송·숙박·선수촌 관리·유니폼 배부 등 서비스가 차질을 빚었고, 밤샘 복구작업을 통해 12시간 만에 정상화됐다.
해당 사건을 추적하던 당국은 당시 해킹이 정보 탈취보다는 시스템 파괴를 목적으로 이뤄진 것으로 보인다며, 공격 주체가 “북한은 아닌 것 같다”고 밝힌 바 있다.

 

ㅡ 도미니크 라브 장관은 “최근엔 ’74455′ 조직이 도쿄올림픽 조직위원회와 스폰서 등에 대해서도 공격을 시도했다”며 “올림픽과 패럴림픽에 대한 GRU의 행위는 부정적이며 무모한 것”이라고 했다.

ㅡ 러시아 해커들의 공격은 평창 올림픽 이전에도 있었던 것으로 나타났다.

2015년 12월과 2016년 12월 우크라이나 전력망에 대한 악성코드 공격을 시작했다고 데머스 차관보는 밝혔다.

그는 “민간의 중요 인프라의 통제 시스템에 대해 처음으로 보고된 파괴적인 악성코드 공격이었다”며

“이 공격이 동유럽 겨울의 한복판에서 전등과 난방을 끄면서 수십만 명의 우크라이나 국민의 삶을 어둠과 추위로 내몰았다”고 말했다.

러시아는 2014년 우크라이나 영토였던 크림반도를 강제 병합한 뒤 미국과 서유럽 국가들의 경제 제재를 받으면서 관계가 악화된 바 있다.

ㅡ 또 2017년 선거를 앞두고 마크롱 프랑스 대통령의 정당과 지방 정부를 상대로 ‘해킹과 유출’ 캠페인을 벌였다고 미 법무부는 전했다.

이들은 2018년 영국에서 발생한 러시아 이중스파이 세르게이 스크리팔 부녀의 독극물 살해 시도에 대한 국제사회의 조사를 목표물로 삼았던 것으로 알려졌다.

ㅡ 데머스 차관보는 이번에 기소된 6명에 대해 “지금까지 단일집단에서 발생한 컴퓨터 공격 중 가장 파괴적인 일련의 공격에 책임이 있다”고 말했다. 단 이들이 올해 미 대선에 개입하려는 의혹은 파악되지 않았다고 밝혔다.
한편 미 국무부도 마이크 폼페이오 장관 명의의 규탄 성명을 발표하고 “러시아는 당장 이런 무책임한 행동을 멈춰야 한다. 이 같은 사이버테러는 국제사회의 안정과 공공의 치안을 완전히 저해하는 것”이라고 했다.