북한 정부 소속 해킹그룹 APT37 그룹이 최근 새로운 백도어 악성코드 'VeilShell(베일쉘)'을 활용한 사이버 공격을 진행한 것으로 드러났다. 이 그룹은 인키스퀴드(InkySquid), 리퍼(Reaper), 레드아이즈(RedEyes) 등 다양한 이름으로도 알려져 있으며, 북한 국가안전보위부 소속으로 알려져 있다. 이들에 의해 수행된 이번 사이버 활동은 SHROUDED#SLEEP(셔라우디드 슬립)으로 명명되었으며, 주로 캄보디아를 비롯한 동남아시아 국가들을 타겟으로 하고 있는 것으로 확인되었다.
시큐로닉스(Securonix)는 이 새로운 백도어가 APT37의 주요 무기 중 하나로 사용되고 있으며, 기존의 공격 방식보다 더욱 정교해졌다고 밝혔다. APT37은 2012년부터 활동해온 것으로 알려졌으며, 주로 북한의 첩보 활동을 수행하고 있다.
베일쉘은 원격 접근 트로이목마(RAT)로, 감염된 시스템에 대한 완전한 제어권을 공격자에게 부여한다. 공격은 ZIP 파일에 포함된 윈도우 단축키(LNK) 파일을 통해 시작된다. 이 파일은 이메일 피싱을 통해 유포될 가능성이 높으며, 실행될 경우 내부에 포함된 파워셸(PowerShell) 코드를 통해 추가 악성 구성 요소들이 설치된다.
이후 실행되는 파일은 피해자를 방심하게 만드는 엑셀 또는 PDF 파일로 위장한 문서로, 피해자는 문서를 열어보는 동안 시스템에 악성 파일들이 몰래 설치된다. 이러한 파일들 중에는 "DomainManager.dll"이라는 악성 DLL 파일과 "d.exe.config"라는 구성 파일이 포함되어 있으며, 윈도우 시작 폴더에 저장된다.
이번 공격에서 특히 주목할 점은 잘 알려지지 않은 앱도메인매니저(AppDomainManager) 주입 기법을 사용했다는 것이다. 이 기법은 정상적인 실행 파일인 "dfsvc.exe"를 변조해 "d.exe"로 복사하고, 시작 시 해당 파일을 통해 악성 DLL 파일을 로드하는 방식으로 작동한다. 이는 기존에 중국 해커 그룹도 사용한 바 있는 기법으로, 공격자들 사이에서 점차 인기를 얻고 있는 것으로 보인다.
이러한 과정을 통해 베일쉘 백도어가 시스템에 설치되면, 공격자는 C2(Command-and-Control) 서버와 연결하여 파일을 탈취하거나 새로운 명령을 실행할 수 있다. 이 백도어는 파일 압축 및 업로드, 다운로드, 파일 삭제 및 이름 변경 등 다양한 기능을 제공한다.
이번 SHROUDED#SLEEP 공격의 가장 큰 특징 중 하나는 매우 은밀하게 이루어졌다는 점이다. 시큐로닉스의 연구진은 공격자들이 각 단계마다 매우 긴 대기 시간을 설정해 기존의 보안 탐지 시스템을 회피하려는 시도를 했다고 밝혔다. 베일쉘 시스템에 설치된 후에도 즉시 실행되지 않고, 시스템이 재부팅될 때까지 대기 상태를 유지한다. 이러한 방식은 감염된 시스템에 대한 장기적인 제어를 가능하게 한다.
APT37이 사용하는 이러한 정교한 방식은 기존의 북한 해킹 그룹들이 보여준 수준보다 한층 진화된 공격 기법으로 평가된다.
SHROUDED#SLEEP 캠페인은 북한의 사이버 첩보 활동이 더욱 정교해지고 있음을 보여준다. APT37 외에도 라자루스 그룹(Lazarus Group)과 킴수키(Kimsuky) 같은 다른 북한 해킹 그룹들이 전 세계적으로 다양한 공격을 감행하고 있다. 특히 최근 시만텍이 밝힌 바에 따르면, 안다리엘(Andariel)이라는 또 다른 북한 해커 그룹이 2024년 8월 미국 내 여러 조직을 대상으로 금전적 이익을 목적으로 한 사이버 공격을 감행한 것으로 확인되었다.
이처럼 북한은 사이버 첩보 활동뿐만 아니라 금융 범죄를 목적으로 한 공격도 병행하고 있으며, 이는 국가 자금을 조달하기 위한 방안 중 하나로 여겨지고 있다.
보안전문가들은 북한 해커들의 점점 더 고도화된 공격 방식에 대해 경고하고 있다. 이번 공격에서 사용된 앱도메인매니저 주입 기법처럼 덜 알려진 기술들이 점차적으로 보안 탐지를 회피하는 데 사용되고 있기 때문에, 기존의 보안 솔루션만으로는 이러한 위협을 막기 어려워지고 있다.
이에 대해 시큐로닉스의 연구진은 다음과 같은 대응 방안을 제시했다:
-향상된 탐지 시스템 도입: 기존의 휴리스틱 기반 시스템만으로는 SHROUDED#SLEEP 같은 은밀한 공격을 탐지하기 어렵다. 이상 행동을 장기간 모니터링하는 행동 분석 도구의 도입이 필요하다.
-정기적인 보안 감사: 시스템 시작 폴더에 비정상적인 파일이 저장되었는지 정기적으로 점검하여 지속적인 위협을 조기에 발견하는 것이 중요하다.
-직원 교육: 스피어피싱이 여전히 주요 공격 경로로 사용되고 있으므로, 기업들은 정기적으로 직원들에게 피싱 이메일을 구분하는 방법을 교육할 필요가 있다.
-패치 관리: 모든 소프트웨어의 최신 보안 패치를 적용하여 SHROUDED#SLEEP과 같은 공격이 악용할 수 있는 취약점을 줄여야 한다.
북한 해커들의 활동이 점차 진화하고 있는 만큼, 기업과 조직들은 이러한 위협에 대비하기 위해 보다 철저한 보안 체계를 구축해야 할 필요가 있다. 특히 동남아시아 지역을 타겟으로 한 이번 SHROUDED#SLEEP 캠페인은 다른 지역으로도 확산될 가능성이 높아 한국도 각별한 주의를 기울여야 한다.
★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★
