북한으로 추정되는 해커조직이 수년간 우리나라 국방, 외교, 통일 관련 정부부처 및 연구원, 예비역 장성, 장관 후보자, 탈북자 및 탈북자 단체 등에 대한 정보를 수집하는 사이버첩보 활동을 수행해 온 것으로 나타났다.
3년간 약 수백 명이 대상이 되어 정보수집 악성코드 공격을 받은 것으로 추정되며, 일부 실제 감염된 대상으로부터 기밀정보들이 외부로 유출된 것으로 보인다.
12일 하우리, 카스퍼스키랩 등에 따르면 이들은 정보수집을 위해 한글 문서의 취약점을 이용해 대상의 이메일로 한글 문서를 첨부파일 형태로 전달했으며, 대부분 감염 당시 패치가 존재하지 않는 제로데이 취약점을 악용했다고 밝혔다.
이 악성코드는 각각의 대상에 맞춤형 내용으로 국방 관련자에게는 국방관련 행사 초청 내용 등으로, 연구기관 등에는 관련 연구 논문 및 연구 주제 등으로 전달했다. 또한 해외 주제국의 대사들에게는 해당 국가의 지역 및 주제에 대한 내용으로 한글 문서를 전달하는 등 악성코드 감염을 유도하기 위한 지능적인 방법을 사용했다.
카스퍼스키랩은 해당 공격을 'Kimsuky'라고 명명했다. 이 회사는 국내 사이버 첩보활동은 세종연구소, 한국국방연구원(KIDA), 통일부, 현대상선, 통일생각 등 중국 및 우리나라 주요 기관을 대상으로 한 제한적이며 고도로 표적화된 공격이라고 설명했다.
카스퍼스키랩은 사이버 스파이 활동의 초기 징후는 지난 4월 3일부터 발견됐으며 실제 kimsuky 샘플은 5월 5일 최초로 확인됏다고 밝혔다. 해당 샘플은 비교적 단순한 정보수집 프로그램으로 몇 가지 기본 코딩 오류가 있었으며 해킹된 컴퓨터와의 통신은 불가리아의 웹 기반 무료 이메일 서버(mail.bg)를 사용했다.
어떻게 감염 시켰는지에 대한 증거는 남아있지 않지만 카스퍼스키랩은 Kimsuky 악성 코드가 스피어-피싱이메일로 전달된 것으로 추정했다.
하우리는 해당 조직이 악성코드에 감염된 대상을 제어하기 위해 C&C 프로토콜로 이메일을 사용했다고 밝혔다. 이메일 프로토콜을 사용하면 정상적인 이메일 트래픽과 구분이 어려워 네트워크 탐지 장비를 우회할 수 있기 때문이다. 특히 SSL과 같은 암호화 보안 프로토콜을 사용할 경우 탐지가 더욱 어려워진다고 덧붙였다.
이 악성코드는 이메일의 제목과 첨부파일을 통해 명령을 전달하거나 추가적인 악성코드를 전달했으며, 또한 첨부파일을 통해 수집한 각종 기밀정보를 외부로 유출시켰다.
해당 조직이 악성코드를 통해 수행한 사이버첩보 활동은 현재 작업 화면 캡쳐, 키로깅, 각종 웹 브라우저에 저장된 계정 정보 수집, 하드디스크에 있는 파일 목록 수집, 한글문서를 포함한 각종 문서 파일 수집, 추가 악성코드 다운로드 및 실행 등의 내용이 포함된다.
악성코드에 사용된 암호화 기법 등이 기존에 북한의 소행으로 알려진 악성코드들과 상당부분 유사하며 개발 경로 및 이메일 프로토콜 등에 한글이 사용되는 등 한글 환경에 능숙한 점, 일부 문서에 포함된 북한 폰트인 청봉체 등이 해당 조직을 북한으로 추정할 수 있는 요소들이라고 최 팀장은 설명했다.
또한 이메일 C&C를 통해 명령을 제어하는 해커조직의 관리자 IP가 국내에서 북한의 김정일 일가를 찬양하는 게시글을 올린 IP와 일치하는 문제 등 해커조직의 IP 대역이 주로 대남 사이버전 수행 거점을 설치하고 정보를 수집하고 있는 것으로 알려진 북한 정찰총국이 위치한 중국 동북3성(랴오닝성, 지린성, 헤이룬장성) 등에 위치한 것들이 해당 조직을 북한으로 추정하는 또 다른 이유이다.
카스퍼스키랩은 악성코드에 한국어로 된 문자열인 '공격, '완성' 등의 단어가 포함됐고, 악성코드의 동작 상태와 감염된 시스템에 대한 정보를 첨부 파일로 전달할 때 사용된 두 개의 이메일 주소(iop110112@hotmail.com, rsh1213@hotmail.com)가 'kim'으로 시작되는 이름(kimsukyang과 Kim asdfa)으로 등록됐다는 점도 근거로 들었다.
해당 이메일 등록 정보가 공격자를 구체적으로 단정지어 주지는 않지만, 공격자의 IP 주소는 이를 간접적으로 알려준다고 덧붙였다. 공격에는 총 10개의 IP 주소가 사용됐으며 모두 중국의 지린성 네트워크(Jilin Province Network), 랴오닝성 네트워크(Liaoning Province Network)의 것이었다. 이 지역에서의 일부 인터넷 회선은 북한에 연결된 것으로 추정되고 있다.
이 회사는 또한 Kimsuky는 '안랩'의 보안 제품을 대상으로 방화벽 기능을 무력화한다고 밝혔다. 이에 대해 안랩측은 발견된 악성코드는 윈도 자체 방화벽과 함께 안랩 PC보안제품의 방화벽을 무력화하기 위한 시도를 한 것은 맞지만 무력화 시도가 실제로 작동하지 않았고 이에 대응했다고 해명했다.
관련기사
- 잇따른 사이버 공격 北의심 이유는?2013.09.12
- 어나니머스, 北고위간부 13명 신원공개 주장2013.09.12
- 어나니머스, 北 사이트 해킹 수법은?2013.09.12
- 北 3.20 해킹 부인 "남측 고의 도발" 주장2013.09.12
최 팀장은 수년 전부터 북한으로 추정되는 여러 해커조직들을 계속 추적하고 있었다며 최근 해외 보안업체들이 국내의 사이버전 이슈에 관심을 갖기 시작하며 조금씩 해당 이슈들을 연구하기 시작했고, 그 중 일부 조직과 관련된 정보를 공개했다고 설명했다.
이어 최 팀장은 이미 오래 전부터 북한으로 추정되는 해커조직들이 국내를 대상으로 사이버첩보활동을 수행하고 있었으며 누구보다 실감하고 있는 상황에서 이제는 더 이상 비공개로 숨길 문제는 아닌 것 같다며 공론화하고 효과적으로 대응할 수 있는 방안을 찾는 데 주력할 것이라고 밝혔다.