박성수 카스퍼스키 책임 “北 김수키 해킹그룹, 매일매일 공격…더 정교해지고 있다”
민간과 기관 협력해서 공격그룹들의 전체 공격 과정 면밀히 분석할 수 있어야 대응 가능
데일리시큐가 2월 6일 주최한 국내 최대 사이버위협 인텔리전스 컨퍼런스 K-CTI 2024에서 카스퍼스키 GREAT팀 박성수 책임은 ‘Unmasking Kimsuky's Targeted Heist on Korean Entities’를 주제로 강연을 진행했다.
박성수 책임은 이날 국내를 중심으로 이루어진 사이버 공격 케이스들을 공개해 관심을 끌었다.
우선 김수키(Kimsuky) 그룹에 대해 설명했다. 2013년 카스퍼스키는 특정 공격그룹의 서버를 분석하는 과정에서 한국, 일본, 미국, 중국 등 국방 관련 민감한 정보들을 탈취하는 조직으로 해당 조직을 분류했고 이름을 김수키 그룹으로 명명했다. 국내에서는 한수원 공격 사건으로 널리 알려졌다. 이후 크게 알려진 사건은 없다.
블루노로프는 방글라데시 은행 해킹 사건으로 크게 알려졌으며 라자루스는 소니픽처스 엔터테인먼트를 해킹해 세상에 알려졌다.
박 책임은 “김수키 그룹은 매일매일 잔잔하게 지속적으로 공격하는 그룹 중 하나다. 한국을 주로 타깃으로 하고 있고 미국과 중국 기관이나 개인들도 공격하며 정치적 목적을 갖고 있다. 특히 정부나 외교 관련 관계자들이 타깃이 되고 있다. 북한 관련 연구 기관 관계자들, NGO, 기자, 탈북자들이 주요 타깃이며 가상화폐 해킹에도 주력하고 있는 그룹”이라고 전했다.
이어 “가상화폐 거래소를 공격하는 해킹그룹들은 많다. 하지만 김수키는 개인을 공격한다. 개인이 갖고 있는 가상화폐를 탈취하는 것이다. 이들은 비슷한 툴로 공격을 지속하고 있어 추적도 쉽다. 한편 최근 비슷한 공격 기법을 사용하는 4개 공격 케이스를 분석하고 있는데 그 중 2개가 오늘 소개할 내용”이라고 강연을 이어갔다.
첫번째, 개인을 공격한 케이스다. 김수키는 국내에서 활동하고 있는 가상화폐 투자자를 교육해주는 특정인의 강연 자료로 위장해 악성코드를 삽입한 강연을 듣는 교육생들에게 유포했다. 압축파일을 열면 악성코드가 활성화된다. 이런 면에서 김수키는 정교하지 못했다. 분석가 입장에서 쉽게 공격 분석이 된 사례다. 요즘 공격자들이 엄청나게 정교함에도 불구하고 김수키는 그정도 정교함을 갖추진 못했다. 심지어 예전에 사용했던 공격 포맷을 그대로 사용하기도 한다. 그래서 탐지가 쉽다. 그는 김수키의 개인을 타깃으로 한 공격 방법을 상세히 설명하며 그래도 공격에 당하는 피해자들이 발생하고 있기 때문에 각별히 주의해야 한다고 강조했다.
다음은 기업을 타깃으로 한 공격이다. 공급망 공격과 유사한 기법을 사용했다. 공급망 공격은 기업에서 사용하는 소프트웨어 업데이트 서버를 변조시켜 여러 사용 기업들과 엔드유저까지 공격하는 방식이다. 소프트웨어 업데이트 주소를 변환시킨다거나 취약점을 이용해 업데이트를 다른 서버에서 받아 보게 하는 방식이다. 또 기업에 있는 네트워크 장비를 변조시키는 경우도 있다. 최근 중국 해커들은 ISP 레벨에 있는 라우터들을 변조해 공격하는 경우도 있다.
이번 케이스는 국내 소프트웨어를 사용하는 기업이고 정기적으로 업데이트를 받아오는 상황이었다. 정상적인 업데이트를 위해서는 소프트웨어 벤더가 마련해 놓은 ISP의 업데이트 서버에 접근해 업데이트가 이루어진다. 이때 공격자는 업데이트 경로에 악성파일이 다운로드 되도록 해서 감염시킨다. 네트워크 레벨의 공격은 아닌 것으로 판단된다. 업데이트 서버 자체가 침해당했거나 네트워크 레벨의 장비가 침해당한 것인지 명확히 분석되진 않았다. 결국 해커의 목적은 두리안이라고 이름 붙여진 RAT를 작동시키는 것이다. 박 책임은 지난해 8월과 12월에 두번 두리안이 유포된 것이 확인됐다고 전했다. 이 악성코드는 고 언어 기반으로 개발됐다.
이어 블록체인 기반 사업을 준비하는 기업 두 곳의 공격 과정을 어떻게 분석했는지 상세히 설명하는 시간을 가졌다. 김수키 그룹의 공격 소행이 확실했다.
김수키 그룹이 주로 사용하는 애플시드를 사용했고 C2 서버에 네이밍하는 버릇, 그들이 선호하는 국내 서비스들을 사용했다. 주로 가상화폐 기업들을 공격할 때 사용하는 공격 레퍼토리들이다. 이외도 김수키 그룹과 안다리엘 그룹이 주로 사용했던 악성코드와 그들이 주로 활용했던 소프트웨어 취약점에 대해서도 상세히 비교하며 소개하는 시간을 가졌다.
그는 김수키 그룹과 안다리엘 그룹의 유사한 공격 패턴을 전하면서 두 그룹이 하나의 그룹으로 합쳐졌을 가능성과 두 그룹이 콜라보레이션해서 공격을 진행하고 있을 수도 있다고 전했다.
이어 그는 “김수키 그룹에 대해 분석가들이 좀 허접해 보인다는 평가도 있었지만 최근 상당히 빠르고 정교하게 변화하고 있다는 것을 알 수 있다. 특히 김수키의 공격 전체 과정을 분석해 보면 상당한 수준임을 알 수 있다. 단순히 C2서버 네이밍 하나만 가지고 김수키 그룹 소행으로 판단한다면 그들을 과소평가한 것이다. 공격의 전 과정을 보는 것이 중요하다. 그러기 위해서는 민간 전문가와 기관 전문가들의 협업이 반드시 필요하다”고 강조했다.
■[G-PRIVACY 2024] 하반기 최대 개인정보보호&정보보안 컨퍼런스 개최 (7시간 보안교육 이수)
△일시: 2024년 3월 12일(화)
△장소: 서울 양재동 더케이호텔서울 2층 가야금홀
△주최: 데일리시큐
△참석대상자: 전국 공공기관 및 지자체, 교육기관, 공기업, 일반기업, 금융기관 등 개인정보보호 책임자, 개인정보보호 담당자, CISO, 정보보안 실무자 등 1,000여 명 이상(현업 보안업무와 관련 없는 자는 참석불가)
△전시회: 국내외 최신 정보보안 솔루션 소개
△보안기업 전시회 참가신청: 데일리시큐 길민권 기자 / mkgil@dailysecu.com
△참관객 사전등록: 클릭
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★