평창동계올림픽 개막 당시 시스템 장애를 일으킨 해커가 해당 공격을 지난해(2017년)부터 준비한 것으로 드러났다.
또 해커의 공격에 영향을 받은 대상은 올림픽 관련 조직에 그치지 않고 더 광범위한 한국 정부기관, 민간업체를 아우르는 것으로 파악됐다.
■ 개막식 망치려 했던 올림픽 파괴자 악성코드…배후는?
러시아 사이버보안업체 카스퍼스키랩은 지난 8일 '시큐어리스트' 블로그에 회사 보안인텔리전스 조직 GReAT 팀이 추적, 분석한 '올림픽 파괴자(Olympic Destroyer)' 공격의 세부 내용을 공개했다. 회사측은 이를 통해 올림픽 파괴자 악성SW의 기술적 특징, 해당 공격이 진행된 과정, 악성SW 공격을 위해 유포된 스피어피싱 이메일의 표적 대상, 앞서 러시아와 북한 등을 지목한 배후 추정의 반박 결론을 제시했다. [☞원문보기]
올림픽 파괴자는 지난 2월 9일 올림픽 개회식 때 발생한 네트워크 시스템 장애를 초래한 해킹 공격에 사용된 악성 소프트웨어(SW)를 가리킨다. 당시 현장의 유무선 네트워크 시스템에 장애가 발생했다. 그 여파로 당시 올림픽 현장 취재를 지원하는 메인프레스센터(MPC)의 IPTV 영상 전송, 입장권 판매 및 출력을 위한 공식 홈페이지 운영, 무선랜(Wi-Fi) 서비스에 문제가 있었다. 이후 올림픽 조직위원회, 국제올림픽위원회(IOC)는 장애 원인이 '해커의 사이버공격'이었다고 밝혔지만, 최초 감염 경로는 확인되지 않았다.
카스퍼스키랩은 확인되지 않았던 평창올림픽 네트워크 시스템의 올림픽 파괴자 악성코드 최초 감염 경로를 스피어피싱 이메일을 통한 감염으로 분석했다.
연구원들은 일각의 앞선 분석과 달리, 악성코드의 특성을 통해 발견할 수 있는 북한의 지원을 받는 공격조직과 연관된 단서들은 조작된 것이며, 따라서 이는 북한에게 잘못을 뒤집어씌우려 시도한 것이라고 덧붙였다.
연구원들은 여전히 올림픽 파괴자의 정확한 배후가 밝혀지지 않았지만, 공격자가 노르드VPN과 모노VM을 활용했다는 점을 밝혀냈다. 이는 러시아어 기반 공격조직 'Sofacy'가 과거 보였던 특징임을 지적했다.
그러나 이 또한 러시아 지원을 받는 해커조직의 소행일 수도, 그 소행을 의심하도록 조작된 흔적일 수도 있다. 앞서 미국 외신들은 러시아 지원을 받는다고 알려진 해커그룹 '팬시베어'를 올림픽 파괴자 공격 배후로 소개하기도 했다.
카스퍼스키랩은 또다른 보안업체 크라우드스트라이크의 애덤 메이어스(Adam Meyers) 인텔리전스 담당 부사장의 "올림픽 공격에 팬시베어가 연관돼 있다는 증거는 없다"는 발언을 인용하며, 러시아 배후설 또한 부정했다.
■ "올림픽 파괴자 맬웨어, 네트워크 웜의 일종…관련 호스트에 2월 6일 침입"
앞서 지난 2월 12일 미국 네트워크 업체 시스코의 보안인텔리전스조직 탈로스 소속 연구원들이 '올림픽 파괴자'라 지칭한 평창올림픽 해킹 맬웨어 샘플을 확보해 분석했다. 이들은 악성코드가 평창올림픽을 위해 운영되는 네트워크에 침입한 경로를 밝히진 못했지만, 올림픽 파괴자 맬웨어 안에 올림픽 인터넷서비스 관련 도메인에 접속할 수 있는 수십개 계정 아이디와 패스워드가 포함돼 있었다는 점, 추가 계정 탈취를 시도한다는 점, 감염 대상의 복구를 허용하지 않고 시스템 파괴 동작을 수행한다는 점 등을 밝혀냈다. [☞관련기사]
카스퍼스키랩은 추가 단서를 확보해 진행한 심층 분석 결과를 제시했다. 올림픽 파괴자 맬웨어가 여러 컴포넌트로 구성된 일종의 '네트워크 웜'이었다고 설명했다. 이 네트워크 웜은 정상적인 시스템관리툴인 SysInternals 스위트의 Psexec 툴, 계정탈취 모듈, 와이퍼 등을 포함했다.
올림픽 파괴자의 목적은 원격 네트워크 공유 환경의 파일을 파괴하기 위한 와이퍼 페이로드를 전달해 60분 뒤 작동시키는 것이었다. 그 메인 모듈은 브라우저와 윈도 저장소에서 사용자 패스워드를 수집해, 훔친 계정 정보를 반영한 새로운 웜을 제작하는 역할을 했다. 새로 만들어진 웜은 접근 가능한 로컬 네트워크 컴퓨터에 뿌려진 뒤 훔친 계정과 사용자 권한을 악용하기 위해 Psexec 툴을 동원했다.
시스템이 네트워크 웜에 감염된지 60분 후 와이퍼가 작동하면 윈도 이벤트 로그가 초기화된다. 백업과 섀도카피가 삭제된다. 윈도 부트 메뉴에서 복구 항목이 제거된다. 시스템의 모든 서비스가 해제되고 컴퓨터가 재부팅된다. 네트워크 공유 환경의 파일들은 이 60분 경과 시점의 파괴 동작이 수행될 때 함께 지워진다. 하지만 로컬 파일과 웜은 그 동작을 통해 자신이나 구성요소를 스스로 제거하진 않았다.
카스퍼스키랩 연구원들의 분석 결과 올림픽 파괴자는 스스로 복제하는 기능을 갖췄지만, 공격자는 지능형지속위협(APT) 공격에 동원되는 측면이동(Lateral movement)을 직접 시도하기도 했다. 이는 웜을 유포하기에 더 적절한 위치를 물색하기 위한 것으로 추정됐다. 그리고 공격자는 Psexec 툴과 탈취 계정을 사용해 네트워크에서 TCP 4444번 포트를 열고 '미터프리터(meterpreter)' 백도어를 다운로드 및 실행했다. 공격자는 또 네트워크 설정을 확인해 다중 네트워크 또는 가상사설망(VPN)에 연결된 서버를 찾아 올림픽위원회 인프라에 연결될 수 있는 인접 네트워크에 침입하고자 했다.
올림픽 파괴자 공격자에게 침입당한 인프라 중에는 카스퍼스키랩의 시스템 감시 컴포넌트를 가동하고 있는 스키리조트호텔의 네트워크에 위치한 호스트도 있었다. 감시 컴포넌트는 여기서 공격자가 측면이동을 위해 사용하는 기술 일부를 포착했다. 해당 호스트의 원격측정(telemetry) 데이터에 따르면 공격자는 2018년 2월 6일 시스템에 침입했다. 이들은 TCP 4444번 포트 개방, ipconfig 명령 실행, 다운로더, 3가지 역할을 수행하는 파워셸 스크립트릿 3개를 사용했다. 그리고 공격자는 한국표준시(KST) 기준으로 업무외시간에 해당하는 시간대에 주로 움직였는데, 이는 공격활동이 주의를 끌지 않도록 하기 위해서였을 것이라는 게 카스퍼스키랩 연구원의 설명이다.
카스퍼스키랩 연구원들은 악성코드에서 발견한 호스트명을 포함한 탈취계정목록을 기반으로 평창올림픽 대상 웜 유포 공격 범위를 도식화했다. 해당 다이어그램에 따르면 평창올림픽 개막식을 겨냥한 웜 공격 자체는 적어도 3곳에서 함께 진행됐다. 그리고 이 3곳 가운데 한 곳에서 네트워크 웜 유포가 진행되기 시작한 것으로 추정됐다.
주된 공격 시도는 이미 알려진대로 평창올림픽 운영 네트워크에서 발생했지만, 평창올림픽 IT서비스 공급업체인 아토스(AtoS)와 앞서 언급한 스키리조트호텔 쪽에도 개별적으로 웜 공격이 진행됐다. IT서비스 공급업체 쪽의 인프라 중에는 그 셰어포인트서버, 파일서버, 동유럽·중동·아프리카(EEMEA) 사무실이 표적이 됐다. 스키리조트호텔에선 인프라 자동화 서버, 파일서버, 웹서버 등이 표적이 됐다. 평창올림픽 인프라에선 웹서버와 인트라넷이 표적이 됐다.
■ "2017년말 한국에 유포된 스피어피싱 이메일과 평창올림픽 공격 연결고리 발견"
카스퍼스키랩 연구원들은 앞서 한국을 대상으로 발생한 스피어피싱 이메일 공격의 흔적에 주목했다. 지난해 12월 '바이러스토털'에 등록된 악성 MS오피스 문서 파일이다. 연구원들은 이 악성문서에서 이번 평창동계올림픽 공격과의 연결고리를 몇 개 발견했다.
카스퍼스키랩 측은 "해당 이메일 캠페인과 올림픽 파괴자간의 명확한 연결고리가 (분석의) 대상이었다"며 "우리는 이 문서화된 문서와 평창에서 발생한 공격 사이에 몇가지 연관성이 있다고 여길만한 점들을 가까스로 발견했다"고 밝혔다.
첫번째 연결고리는 평창올림픽 공격의 악성코드 올림픽 파괴자와, 앞서 국내에서 이뤄진 스피어피싱 이메일 공격에 쓰인 악성문서의 동작 특성이다.
스피어피싱 이메일 공격에 동원된 악성문서를 MS오피스로 열고 편집기능을 활성화하면, 악성문서는 cmd.exe 명령어를 사용해 파워셸 스크립트릿을 실행하고 또다른 파워셸 스크립트릿을 내려받아 실행함으로써 시스템에 백도어를 심는 동작을 수행했다. 이 백도어는 올림픽 파괴자 공격 피해를 입은 평창올림픽 네트워크에서 발견된 파워셸 백도어와 유사성이 크다고 카스퍼스키랩 측은 지적했다.
카스퍼스키랩 연구원들은 "두 파워셸 스크립트는 동일한 툴을 사용해 난독화 및 작성된 독립형 파일리스 백도어 악성코드"라며 "두 스크립트는 유사한 URL 구조를 채용했고 파워셸의 RC4 및 쿠키를 통해 base64로 서버에 전달된 비밀키 값을 사용해 구현됐다"고 분석했다.
두번째 연결고리는 올림픽 파괴자 공격을 수행한 공격자가 사용한 가상사설망(VPN) 서비스업체 '노르드VPN'의 인터넷 주소 값이, 기존 스피어피싱 이메일 공격에 쓰인 악성문서에도 포함됐다는 점이다.
관련 조사를 위해 카스퍼스키랩 연구원들은 평창동계올림픽 개최지에 자리한 호텔에서 관리하는 서버 중 하나의 관리권한을 얻었다. 관련 업체로부터 네트워크 게이트웨이의 네트워크 접속 로그를 제공받아 분석한 결과, 그 서버와 131.255.*.* IP주소를 사용하는 아르헨티나 소재의 악의적 명령제어 서버간 트래픽이 있었음을 확인했다. 이 명령제어 서버의 사용권한은 불가리아의 한 리셀러 업체가 노르웨이에서 '프로톤메일(protonmail.com)'이라는 도메인 기반의 메일계정을 사용하는 인물 'Simon***'으로부터 2017년 10월 10일 결제한 것이었다.
Simon*** 메일계정 사용자는 노르웨이의 IP주소 82.102.*.*를 사용해 아르헨티나 소재 서버를 관리했다. 이 IP주소는 가상사설망(VPN) 서비스업체 '노르드VPN(NordVPN)'가 제공하는 게이트웨이 정보에 해당했다. 노르드VPN은 비트코인으로 결제를 받아 프라이버시 보호형 VPN 서비스를 제공하고 있다. 평창동계올림픽 스피어피싱 이메일 관련 악성파일 내용에도 노르드VPN 서비스 주소가 등장한다.
카스퍼스키랩 연구원들은 이를 근거로 "(악성문서에 포함된 노르드VPN 문자열은) 신뢰도가 낮은 지표지만 동계오림픽 스피어피싱 캠페인과 올림픽 파괴자 웜 공격을 시작한 공격자간의 또다른 연결고리로 보인다"고 평했다.
■ "최초 네트워크 웜 확산, 올림픽 개최지 스키리조트에서 시작"
카스퍼스키랩 연구원들은 공격자들이 올림픽 파괴자 공격을 수행하기 위해 평창동계올림픽의 공식 파트너들이 운영하는 네트워크를 표적으로 삼은 스피어피싱 이메일을 발견했다. 공격자는 이 공격을 시도하기 위해 각 파트너 업체의 홈페이지를 들러 그 이름을 찾고, 도메인명을 확인하고, 스피어피싱 공격의 시작점으로 삼을 이메일 계정을 수집하려 했을 것으로 추정됐다.
연구원들이 발견한 악성문서 중 하나는 2017년 12월 29일 한국에서 '바이러스토털' 사이트에 업로드됐다. 악성문서 발신처 이메일 계정은 한국의 공공기관 '대테러센터(NCTC)'를 사칭하고 있지만, 실제 발신자 서버 IP주소는 싱가포르 쪽이다.
또 연구원들이 공개한 스피어피싱 이메일의 수신처는 평창올림픽 아이스하키 종목 관련 공식 이메일 주소 'icehockey@pyeongchang2018.com'를 담고 있었지만, 실제 표적은 다양한 국내 기업 및 공공기관 도메인을 아울렀다.
카스퍼스키랩이 실제 평창올림픽 공격에 연관된 스피어피싱 이메일이 표적으로 삼았다는 공공부문 도메인은 평창올림픽 공식사이트, 한국공항공사, 관세청, 한국전력공사, 기상청, 한국철도공사, 대한민국정책포털, 대한체육회 등이다. 표적이 된 민간부문 도메인은 SK, KT, 포스코, SK하이닉스, 대한항공, 한진택배, 강릉아산병원, 동아일보, 알펜시아리조트, 용평리조트 등이다.
다만 공격자가 평창올림픽 네트워크 범주를 넘어선 표적을 최종 피해 대상으로 의도했다고 단정할 수는 없다.
20일 카스퍼스키랩 GReAT팀 소속 박성수 책임연구원은 "다른 회사를 공격 대상으로 한 것인지, 올림픽 협력사 및 파트너 등을 통해 우회적인 공격을 하려 한 것인지같은 정확한 (공격)의도는 확인이 어렵다"고 설명했다.
또 박성수 책임연구원은 해당 스피어피싱 메일을 받은 여러 분야의 기관 및 기업 조직이 모두 악성코드 감염 또는 시스템 장애 등 피해를 겪었는지에 대해 "수신자의 감염 및 피해 여부는 알 수 없다"고 답했다.
연구원들이 발견한 모든 증거를 바탕으로 분석한 결과 스키리조트 2곳의 자동화 인프라를 맡고 있는 소프트웨어 업체, 스키리조트 호텔 두곳, 프랑스에 본부를 둔 IT서비스업체 아토스 등의 시스템이 올림픽 파괴자의 공격에 뚫린 것으로 파악됐다.
그리고 한국이 아니라 다른 곳에 소재한 피해 시스템도 있었다. 바이러스토털에 관련 악성코드를 업로드한 곳은 오스트리아 소재의 'VAT정보교환시스템(VIES)' 담당조직이었다. VIES는 유럽연합 집행위원회가 소유한 검색엔진이며, 이는 그와 통신하는 유럽 소재 IT업체 아토스의 시스템이 감염에 따른 부차적 피해 가능성을 시사한다는 설명이다.
하지만 연구원들이 파악한 웜의 주요 출현 위치는 '이름을 밝힐 수 없는' 한국의 겨울 휴양지에 소재한 호텔에 있었다. 조사결과, 악성코드 공격을 받은 서버 중 하나를 운영하는 곳에서 작동한 스키 게이트 및 리프트를 쓸 수 없게 됐다. 연구원들은 이게 부차적인 피해가 아니며, 공격자가 의도적으로 스키리조트 자동화 서버에서 웜 확산을 시작한 것이라고 분석했다.
연구원들은 "해당 서버는 네트워크에서 페이션트제로(patient-zero, 병원체의 최초감염자)라 불리는 것이었다"며 "그 공격 시점은 평창동계올림픽 개막식 공식행사 몇시간 전이었는데, 이는 감염된 인프라를 사용하는 사람들에게 끼칠 불편을 극대화할만큼 네트워크상에 충분히 전파되도록 선정된 것이었다"고 덧붙였다.
■ "북한 배후 지목 근거, 해커조직 '지문'은 위조된 것…배후추정 신중해야"
보안업계의 관심은 올림픽 파괴자 악성코드의 근원지다. 이 공격 배우를 둘러싼 가설은 분분하다. 여러 분석 주체들이 지난달 공격이 발생한 직후 여러 근거를 가지고 러시아, 중국, 북한 등 국가의 지원을 받는 해커조직의 소행일 가능성을 제기했다. 이들 국가에 고용된 사이버 스파이, 사보타주 공격 조직이 과거 보여온 특징과 올림픽 파괴자가 보인 몇몇 특징이 일치했다는 이유에서였다.
카스퍼스키랩도 올림픽 파괴자의 배후 집단을 밝혀내고자 했다. 그러다 공격자들이 남긴 고유 흔적을 근거로 "북한이 연계된 악명 높은 국가 지원 해킹 지반 '라자루스'와 올림픽 파괴자가 연관돼 있다는 확실한 증거를 발견했다"고 지적했다. 연구원들은 파일에 저장된 코드 개발 환경의 일부 특징 조합을 일종의 '지문'으로 삼는 기법을 통해 올림픽 파괴자의 지문이 과거 분석한 라자루스 악성코드 개발자 지문과 같음을 알아냈다.
관련기사
- "평창올림픽 해킹, 러시아-북한 소행 아니다"2018.03.20
- "러시아, 평창올림픽 개회식 때 조직위 해킹"2018.03.20
- 파괴형 악성코드, 올림픽 개회식 방해 목적2018.03.20
- "액티브X, 북한관련 해커 악성코드 유포수단중 하나"2018.03.20
하지만 추가 분석 결과 처음에 발견된 올림픽 파괴자의 지문은 위조된 것이었다. 카스퍼스키랩 측은 "2차 분석과 수동 검증을 거친 결과 연구팀은 라자루스가 사용하는 지문과 완벽하게 일치하도록 위조됐으나, 그 실제 코드와 일치하지는 않는 특징을 몇 가지 발견했다"고 설명했다.
이에 대해 박성수 책임연구원은 "마치 범죄자가 다른 사람의 DNA를 훔쳐서 현장에 자신의 DNA 대신 남겨놓은 것과 같다"면서 "잘못된 추적은 심각한 결과를 가져올 수 있으며 누군가 국가 및 정치 현안에 영향을 주기 위해 보안 커뮤니티의 의견을 조작하려고 할 수 있기 때문에, 공격 배후 추적은 아주 신중하게 진행해야 한다"고 평했다.