북한 해킹 공격 활성화 , 앞으로 대규모 공격 예상 ?
서론
많은 사람들이 알다시피, 뉴스에서 요즘 북한의 개성 연락사무소 폭파 사건이 시끄럽다.
개인적으론, 이러한 상황이 북한의 쇼라고 생각하지만
한편으로는 현재 북한의 상황이 안정적이지 않다는 것을 입증한다고 생각한다.
북한의 자금 조달 수단은 2000년대에 비하면 많이 줄어든 것은 명백한 사실이다.
이를 충당하기 위한 수단 또한 다양해지고 과감해지기 시작했다는 것은 당연한 것으로 보인다.
- 예전부터 북한의 해킹 공격과 대규모 집단화는 잘 알려져있다.
- 최근 북한의 해킹 공격이 자주 뉴스에 오르기 시작했다.
- 이러한 북한의 해킹 공격의 방식과 그 대책에 대해 간략하게나마 정리하려 한다.
본론
먼저, 북한의 해킹 그룹 라자루스가 주동 집단으로 추정되고 있는듯하다.
라자루스 그룹(Lazarus Group)은 북한 정찰총국의 해커 부대이다.
과거에는 히든 코브라(Hidden Cobra) 라고 불렸다고 한다.
아무튼 이 집단의 소행일수도 있고, 아닐수도 있다. 다양한 해킹 그룹이 있고, 북한도 이러한 큰 조직의 뿌리가 있을뿐 소행은 작은 규모의 해킹 팀이 실시할 수 있기 때문이다.
그렇다면, 이들의 요즘 공격 트렌드는 어떻게 될까?
예상대로 핫 토픽은
코로나 바이러스
현재 전 세계가 코로나 바이러스의 대응으로 시끄러운 만큼 북한도 이를 활용한 공격을 일삼고 있다.
방식은 어떻게 될까? 표로 기록하여 앞으로 기록을 남겨야 겠다 싶어서, 기록한다.
기록 날짜 : 2020.08.04 화요일
| 번호 | 구분 | 날짜 | 공격 방식 요약 | 예상 주최 |
| 1 | 악성 파일, APT, 스모크 스크린 | 20.05.29 | 코로나 관련 문서로 작성된, MS doc 파일에 악성 코드 삽입후 피싱메일이나 커뮤니티 등 사이트에 유포 | 김수키(Kimsuky) |
| *사건* | 연락 사무소 폭파 | 20.06.17 | 개성 연락 사무소 폭파 | 북한 |
| 3 | 악성 프로그램 | 20.06.23 | 유용한 프로그램에 악성코드를 삽입하여 유포 ( 커뮤니티 사이트에 유포 ) |
라자루스(Lazarus) |
| 4 | 악성 코드 이메일 | 20.07.16 | 코로나 관련 파일 첨부 이메일 전송 공격 (매크로 포함된 엑셀 파일, 악의적 매크로 포함숨어있음) |
북한 추정 |
| 5 | 여러 플랫폼 공격 도구 MATA 새로 개발 |
20.07.23 | 멀웨어 프레임워크 새로 개발 소식(by. 카스퍼스키-보안업체 소식) = MATA 마타 라고 불림. 주로 소프트웨어 개발사나 온라인 상거래 플랫폼 노림 |
라자루스 (Lazarus) |
| 6 | apple 생테계 타겟 활동 활발 징후 포착 |
20.07.29 | 맥 환경 전용 멀웨어 포착 시작됨. 백도어, 암호화폐 접근 등 다양한 기술로 공격시도 보임. 마음먹은 듯한 공격 증거가 많이 보임. 맥 환경을 이해하고 있는 Mac OS전문 개발자 참여 흔적 보임 |
라자루스 (Lazarus) |
| 7 | VHD 랜섬웨어 포착 | 20.07.30 | 새로운 랜섬웨어 VHD 포착(by 카스퍼스키) 3, 5월 부터 보이기 시작 네트워크에 연결된 모든 디스크들을 넘나들며 파일들을 암호화. c++로 되어있음. 동시에 시스템 볼륨 정보(System Volume Information)라는 폴더들을 삭제.(윈도우의 복구 기능과 관련파일들) |
라자루스 (Lazarus) |
| 8 | 국방부 우주항공 산업 타겟 악성 템플릿 삽입 구직 이력서 공격포착 |
20.08.04 | (by McAfee) 악성코드 삽입 이력서가 국방 산업 내에 돌아다니기 시작. 이런걸 노스스타 작전(Operation North Star) 이라고 함. | 히든 코브라 |
| 9 | 북한 해커들 러시아 해커와 협력체계 구축 가능성 높음. | 20.09.17 | 보안 첩보 전문 회사인 인텔 471(Intel 471)발표, 북한 해커조직 라자루스가 러시아의 해커 인프라를 통해 바이러스를 유포하는 정황이 포착된다고 알림. |
라자루스 (Lazarus) |
| *사건* | 연평도 해역 공무원 피살 사건 | 20.09.22 | 연평도 해역에서 어업지도활동 중인 해양수산부 어업관리단 소속 공무원 이 모씨 남측 해역에서 실종, 38km 떨어진 북방한계선 해역에서 조선인민군의 총격에 사망 | 북한 |
| 김정은의 사과문 발표 | 20.09.25 | 북한은 25일 전통문을 보내 사건 경위에 대하여 설명하고 이례적으로 김정은이 "남측 국민들과 문재인 대통령에게 실망감을 준 것에 대해 미안하다"는 의사를 표했다. | 북한 |
APT(Advanced Persistent Threat 지능형 지속위협,
북한의 해킹 방식은 과거와 크게 다른 것은 없다.
무차별적이고, 사람들이 실수하는 부분을 캐치하여 해킹하는 것이 주요 특징이다.
- APT 지능형 지속위협이 자주 목격되고 있다. APT는 특정한 방식이 정해져있지 않고, 말 그대로 지능형이다. 방식은 변칙적으로 바꾸며, 목적을 위해 은밀하고 시간을 들여서라도 해킹을 하는 듯하다.
- 스모크 스크린 방식을 사용한다고 한다. 문서에 악성코드를 심어서 서버에 접속하고 정보를 빼내는 방식으로 보인다. 즉, 해킹에 관해 잘 모르는 사람들을 낚시(?)하여 자연스럽게 컴퓨터를 감염시키고 원하는 정보를 가져가는 것이다. 이는 알아도 당할 가능성이 매우 높은 방식인듯 하다.
VHD 랜섬웨어
스프레더 Spreader 기능을 가지고 있으며, 피해자들의 크리덴셜을 하드코딩하기도 한다.
이를 통해 피해자의 네트워크 내에서 스스로 증식 가능하다.
SMB 서비스에 브루트포스 공격을 가함으로써 광범위하게 확산되기도 한다.
원도우 관리도구 WMI 호출을 통해 스스로를 실행하는 기능도 발견됨.
일반 범죄자들의 랜섬웨어는 이런식으로 퍼트려지지 않는다.
피해 조식이 적다는 것도 의심, 랜섬웨어는 돈을 위한 공격이라, 넓게 퍼트리는게 당연하지만, VHD는 그렇지 않았다.
카스퍼스키의 사건 대응 팀이 두 사건을 분석했을 때, “공격자들이 취약한 VPN 게이트웨이를 통해 최초 침투한 것으로 보인다”는 결론에 도달했다고 한다. “거기서부터 관리자 권한을 훔치고, 백도어를 설치했으며, 액티브 디렉토리(AD)를 장악한 것으로 보입니다. 그런 후에 네트워크 내 모든 장비들에 VHD를 배포하기 시작했죠. 이 모든 과정이 10시간 정도 안에 이뤄졌다고 여겨집니다. 즉 공격 과정을 공격자들이 지켜보면서 ‘네트워크를 충분히 장악했다’고 판단한 순간부터 VHD를 사용하기 시작했다는 겁니다.”
여기서 언급된 백도어는 최근 라자루스가 개발한 것으로 보이는 다중 플랫폼 프레임워크, 마타(MATA)의 인스턴스다. 현재까지 마타를 사용한 공격 단체는 라자루스밖에 없다. 때문에 VHD의 배후에 라자루스가 있다는 결론을 내리는 게 어렵지 않았다고 한다. VHD 역시 다른 공격 사례에서 발견된 전적이 없다.
결론
북한의 해킹 공격이 현재의 이슈들을 활용하여 기존의 해킹 방식으로 침투 사례가 많아지고 있다.
인터넷의 팝업창을 통해서도 해킹이 가능하다.
인터넷이 필요 없는 문서 파일을 활용하여 해킹도 가능하다.
카카오톡, 네이버, 구글 등 다양한 사이트 앱을 통해서도 해킹이 가능하다.
항상 해킹에대해 좀 알아보다 보면, 일반인이나 시민들은 표적이 되는 순간 당할 수 밖에 없는 조건으로 보인다.
이런 상황 속에서 보안 방어를 하기 위해선 우리는 어떻게 살아야 할까 ... 개발 공부를 하고 프로그래밍에 대해 공부를 하면서도 이러한 해커들의 공격을 막는 방법이 없다는 서적들의 말이 공감이 되고, 이해가 된다.
그렇다면 방법이 없는 걸까? 나름의 결론은 이러한 그들의 과거 공격방식을 학습하고 관심을 가지면서
주변에 알리고, 항상 경계하는 습관이 필요하다고 생각한다.
이러한 글을 쓰면서 나조차도 공부를 하고있으며, 개발일을 하면서 보안에 대해 중요성을 간과하지 않는 습관과 신념을 키우게 되는 듯하다.
북한 관련 사건
연평도 해역 공무원 피격 사건 - 나무위키
김정은의 통지문이 오기 전까지는 여야 모두 격앙된 반응을 보였지만, 통지문이 온 뒤로는 여당이 비판 수위를 매우 낮추었다. 국회 국방위는 9월 24일 만장일치로 북한 규탄 결의안을 채택했다.
namu.wiki
잘 보셨다면, 공감 버튼 한번 눌러주세요. 부족한점이나 의견은 댓글 부탁드립니다.
아래는 참고 사이트들과 뉴스들이다.
‘北 코로나19 상황 인터뷰 문서’ 사칭 APT 공격 주의... 김수키 추정
최근 미국 내 북한 문제 전문가 포럼인 ‘전미북한위원회(NCNK)’의 코로나19 바이러스 관련 인터뷰 문서로 사칭한 악성 파일이 국내에서 발견되어, 각별한 주의가 필요하다고 통합보안 기업 이��
www.boannews.com
연락사무소 폭파 이후 파국 치닫는 南北, 사이버상은 이미 전쟁터
문재인 정부의 남북관계에 있어 가장 큰 상징이었던 남북공동연락사무소(이하 연락사무소)가 북측에 의해 일방적으로 폭파된 이후, 남북 관계가 최악의 파국으로 치닫고 있다. 조만간 군사도발
www.boannews.com
북한 추정 ‘라자루스’ 해커조직, 한국 인터넷 커뮤니티서 악성 파일 유포
지난 6월 22일 오전 한국의 특정 인터넷 포럼 자료실을 통해, 마치 유용한 프로그램처럼 위장한 악성 파일이 불특정 다수에게 무차별 유포됐다고 통합보안 기업 이스트시큐리티(대표 정상원)가 �
www.boannews.com
North Korea's Cyber
How DPRK Created World’s Most Effective Cyber Forces
russiancouncil.ru
'Tech > Hacking' 카테고리의 다른 글
| [보안] e프라이버시 클린서비스 :: 가입한 적이 없는데? (0) | 2020.06.23 |
|---|---|
| [보안] 공인 인증서 폐지 :: 사설 인증 시장의 시작 (0) | 2020.05.25 |
| 해킹사회를 읽으며...05 (0) | 2019.11.29 |