"액티브X, 북한관련 해커 악성코드 유포수단중 하나"

금융보안원 '2017 사이버위협 인텔리전스 보고서'

컴퓨팅입력 :2017/08/09 16:19

금융보안원이 북한의 해커그룹으로 간주되는 조직의 국내 주요 사이버위협 사례를 분석했다. 최근 공개한 보고서를 통해 주요 악성코드 유포 수단 중 하나로 국내 은행과 증권사에서 널리 쓰이는 '액티브X(ActiveX)'가 동원됐다는 분석 결과를 제시했다.

금융보안원은 지난 2015년 4월 출범한 보안 연구조직이다. 당시 금융결제원과 코스콤의 정보공유분석센터(ISAC), 금융보안연구원 기능을 통합해 금융권 전반의 보안수준, 금융소비자 보호수준 강화를 명분으로 내걸었다. 금융IT·보안인증, 금융보안 교육, 정책기술연구, 취약점 분석·평가, 침해정보공유와 침해대응, 보안관제 등 보안서비스 제공을 수행하는 조직으로 묘사됐다.

액티브X 로고.

금융보안원은 지난달(7월) 27일 공지사항을 통해 국내 금융권을 겨냥한 해커그룹을 추적한 '2017 사이버위협인텔리전스보고서'를 소개, 배포했다. 공지를 작성한 침해대응부는 보고서가 "금융보안원이 다년간 복수의 침해사고 및 악성코드들의 연관성을 추적해 동일한 공격자에 의한 일련의 행위임을 확인하고 '라이플(Rifle)' 캠페인으로 명명해 분석한 결과"라고 설명했다. [☞공지사항 바로가기]

캠페인은 공통된 특성을 보이는 일련의 연속된 사이버침해사고를 지정해 가리키는 표현으로, 개별 침해사고를 가리키는 '오퍼레이션'이라는 표현과 구별된다. 라이플이라는 코드명은 금융보안원이 공격조직을 프로파일링하는 출발점으로 삼은 악성코드 샘플 내용중 프로그램 디버그정보 파일(PDB) 경로에 포함된 문자열 'rifle'에서 따온 것이다.

금융보안원 2017 사이버위협인텔리전스 보고서.

■공격 7건 중 2건에 액티브X 동원돼

라이플 캠페인은 금융보안원이 지난 2015년부터 올해(2017년) 상반기까지 알려진 국내 금융, 국방, 방산, 대기업, 대북단체, 보안업체 대상 주요 침해사고를 가리킨다. 그 주요 배후는 앞서 한국과 미국 수사기관이 북한의 사이버공격조직이라 판단한 라자루스그룹, 그와 관련이 있는 또다른 해커조직인 블루노로프그룹 및 안다리엘그룹, 세 조직으로 추정됐다.

이들은 2013년 3월 방송, 금융, ISP회사 사이버테러 '다크서울' 이후 공격 7건에 개입했다. 2015년 11월 방산업체 표적공격(XEDA), 2016년 2월 'I사' 소스코드·코드서명인증서 탈취(INITROY), 5월 통신·방산업체 내부자료 탈취(GHOSTRAT), 8월 작전계획 등 국방기밀 탈취(DESERTWOLF), 9월 국방관련 사이버테러(BLACKSHEEP), 2017년 3월 ATM 카드정보 탈취(VANXATM), 5월 특정기업 침투 시도(MAYDAY) 등 사례다.

보고서는 공격을 수행한 조직이 대상에 침입 또는 침입 후 내부 전파를 위해 제로데이 취약점을 활용했다고 봤다. 국내에서만 널리 이용되는 액티브X 컨트롤 솔루션이나 에이전트 형태로 다수의 PC에 설치되는 기업용SW의 제로데이 취약점을 이용했다고 분석했다. 국내 기업 운영 환경에 대한 높은 이해를 바탕으로 관련 SW의 취약점을 찾기 위해 IT 기업을 공격대상으로 선택하기도 했다고 평했다.

라이플캠페인 공격 7건 시간순 배열 도표. [자료=금융보안원]

분석된 사례 7건 중 비교적 최근 확인된 '블랙쉽(BLACKSHEEP)'과 '메이데이(MAYDAY)', 2건의 공격 과정에 액티브X 기술이 동원됐다.

블랙쉽은 2016년 8월 I사 웹암호화 솔루션의 액티브X 컨트롤 업데이트 기능이 악용된 악성코드 유포 사건이다. 방위산업관련 업체 대상 공격으로 수행됐다. 앞서 I사 소스코드가 유출돼 해당 업데이트 검증절차를 통과하는 악성코드가 제작됐다. 이어 악성코드 유포지 서버에 정상 업데이트와 동일한 절차가 구성됐다. 유포지 서버 접속시 악성코드가 자동 다운로드되게끔 만들어졌다.

메이데이는 2017년 5월 금융회사 내부망 침투를 위해 노동조합 홈페이지를 통해 진행된 워터링홀 공격이다. 외부 호스팅서비스를 이용하는 노조홈페이지가 침해된 뒤 M사 리포팅솔루션의 액티브X 제로데이 취약점을 이용한 악성코드 유포가 진행됐다. 내부 직원이 침해된 홈페이지 접속시 취약한 액티브X 설치 여부를 확인하면 악성코드가 감염되게끔 만들어졌다.

보고서는 "액티브엑스 취약점을 이용한 악성코드 유포는 BLACKSHEEP 오퍼레이션을 포함해 안다리엘 그룹이 악성코드를 유포할 때 이용하는 다양한 방법 중 하나로서 취약점 패치 후 새로운 방식의 취약점이 재발견된 사례도 존재한다"고 설명했다.

보고서 분석에 따르면 안다리엘그룹은 지난 2014년 이후 국내 금융회사, 중소IT기업 및 대기업, 국방부, 방산업체를 공격대상으로 삼아 활동해 왔다. 기밀탈취와 경제적 이익을 목적으로 대기업 자료유출, 국방망침해, VAN사 ATM 악성코드 감염, 금융사 노조 악성코드 유포 사고를 일으켰다.

■"안다리엘-블루노로프 공격은 항시 진행형"

액티브X는 국내 금융거래와 공공부문 온라인 대민서비스, 내부 업무용으로 여전히 널리 사용되는 기술이다. 문재인 정부가 공공사이트에서 액티브X 퇴출 목표를 내놨고 민간 부문에서도 대체기술 도입이 진행되고 있지만 향후 수년간은 계속 쓰일 전망이다. 주요 사이트에 액티브X가 남아 있을 경우 그 운영사나 이용자가 속한 조직은 계속해서 안다리엘그룹과 같은 공격조직의 위협에 노출될 수 있다.

안다리엘그룹이 다른 액티브X 제로데이 취약점을 통해 더 광범위한 악성코드 공격을 시도할 가능성이 남았다. 공격을 분석한 결과 일부 홈페이지에선 악성코드 유포 전 정보수집 단계만이 진행됐는데, 그 과정에서도 PC에 액티브X 9종이 설치됐는지 여부를 파악하고 있었다.

보고서는 "현재까지 1종의 액티브엑스 프로그램을 제외하고 취약점 공격코드가 확보되지 않았기 때문에 설치 여부를 파악한 전체 액티브엑스 프로그램이 제로데이 취약점을 가지고 있는지 확인은 불가능하다"고 설명했다. 보고서엔 추가 언급이 없지만, 이는 달리 보면 안다리엘그룹이 나머지 액티브X 프로그램의 제로데이 취약점을 갖고 다른 공격에 나설 여지도 있다는 얘기로 읽힌다.

현재까지 공격에 이용된 취약점은 현재 모두 패치된 상태다. 발견된 악성코드 분석 결과, 라이플 캠페인 공격을 수행한 세 조직 가운데 블루노로프는 익스플로잇킷을 주로 이용하지만 안다리엘은 국내에서만 이용되는 액티브X, 또는 기업 내부에서 이용되는 백신, DRM, DLP 등 보안솔루션과 관련된 취약점을 자주 사용하는 것으로 파악됐다.

보고서는 안다리엘그룹의 목적이 과거 공격대상의 자료 탈취나 파괴 등 '사이버테러'에서 최근 외화벌이를 위한 '사이버범죄'로 확대됐다고 지적했다. 새로 탐지된 온라인 포커게임 해킹 악성코드 설치 시도 사례가 이를 뒷받침하는 근거로 소개됐다. 또 2016년까지 국내 대상 공격을 수행하지 않았던 블루노로프그룹이 안다리엘그룹과 공조, 동일 기업대상 공격을 수행했다는 정황도 제시됐다.

관련기사

금융보안원 측은 보고서의 결론 항목을 통해 "라자루스의 세부조직인 블루노로프와 안다리엘그룹의 공격은 정확한 공격 시점을 알 수 없을 뿐이지 항상 진행 중인 상태로 간주해야 한다"고 경고했다.

이를 대비하기 위해 "침입차단시스템에서 접근허용 정책이나 스팸메일에 대한 대응과 같이 외부에서 내부로 연결 통로가 되는 환경에 대해서는 철저하게 관리"하고 "내부 직원들이 자주 접속하여 워터링홀 공격에 악용될 수 있는 비업무적 웹사이트에 대한 점검 역시 주기적으로 수행하는 등 보안의 사각지대를 제거하는 작업이 지속적으로 이루어져야 한다"고 덧붙였다.