[이슈]국내 겨냥 최신 APT 공격자 밀착추적 및 집중해부

1. 개요

잉카인터넷 대응팀은 국내외 특정기관 및 기업들을 대상으로 하는 일명 지능형 지속 위협(APT:Advanced Persistent Threat)이라 부르는 표적형 공격 기법을 집중적으로 추적하고 있는 상황이다. 이 과정에서 2012년 03월 02일 국내에서 발생하였지만 아직 공식적으로 공개된 바 없는 실제 공격 사례의 정황을 다수 포착하였고, 근거자료를 기반으로 해당 수법을 장시간 다각적으로 면밀하게 조사를 수행하였다. 이에 잉카인터넷 대응팀은 공격자 입장의 관찰자 관점에서 어떻게 공격이 진행되었는지 업계 최초로 수집된 자료를 공개하고, 표적기반의 정교하고 은밀한 형태의 공격방식을 효과적으로 방어하기 위해서 어떠한 보안전략이 요구되고, 대응과제가 수립되어야 하는지 실제상황을 비교하여 제시해 보고자 한다.

---

■ 표적형 공격이란?

현재 대표적인 표적공격으로 지능형 지속 위협(APT)을 언급하는 것이 일반화되었고, 원자력 발전소와 같은 중요 산업기반 시설, 국가 기관, 다양한 서비스 분야의 유명 인터넷 기업 등을 대상으로 은밀하게 접근하여 개인의 명의를 도용하거나, 중요한 내부 데이터 등을 탈취 시도하는 전반적인 보안 위협 과정을 의미한다. 

이러한 공격은 특정한 목표를 겨냥한다는 점에서 불특정 다수를 대상으로 하는 기존의 사이버 위협과는 구별되며, 표적으로 정해진 기관이나 기업 등의 조직원에 차별화된 방식으로 침투하고 장기간 잠복하면서 내부 기밀정보를 수집하고 유출하는 식으로 공격목표를 달성하기 때문에 피해자는 공격상황 자체를 파악하기 힘든 경향이 많고, 공격에 노출된 것을 인지하더라도 외부에 피해 사실을 공개하기 어려운 입장 때문에 잠재적인 보안 위협을 입을 가능성이 높다.

공격 기간은 공격자 계획에 따라서 차이가 있지만 대부분 다각적 공격루트를 활용한 후, 교두보 역할의 활동 거점을 마련한 후 치밀하게 계획된 연쇄 침투활동을 지속적으로 수행하게 된다. 

국내 유명 기업 표적 공격(APT)형 수법 공개
☞ http://erteam.nprotect.com/249

일본 국토교통부 산하 국토지리원 표적 공격형 악성파일 발견
☞ http://erteam.nprotect.com/247

3월 10일 티벳(Tibet) 봉기 53주년 기념 표적형 공격 발견
☞ http://erteam.nprotect.com/248

■ 표적형 공격의 수행 단계

■ 지능형 지속 위협(APT) 공격의 레벨 정의

잉카인터넷 대응팀은 국내외 지능형 지속 위협(APT)의 사례를 다수 확보하고 조사하면서 위장된 이메일을 이용한 침투 수법 및 수준에 나름의 차이가 있다는 것을 발견하였으며, 이것을 기반으로 공격자 기반의 레벨을 구분하여 자체적으로 다음과 같이 수준(Level)을 정의하였다.

이 모든 내용은 이메일 악성파일 첨부와 본문 내용에 포함된 URL 링크 방식을 복합적으로 사용할 수 있기 때문에 악성파일 첨부 방식만으로 제한하여 규정하지는 않으며, 다국적 언어가 모두 사용될 수 있고 공격자의 중앙 관리 서버를 통해서 추가 명령 및 제어(C&C)를 통해서 언제든지 가변적인 변칙 공격도 가능할 수 있다.

- Level 01 (초급) :
사회공학기법과 간단한 Spam, Phishing 기법 등을 복합적으로 활용하며, 대표적인 실행파일 확장명(EXE/SCR/COM) 구조의  악성파일을 사용하는 방식.

- Level 02 (중급) : 
이미 보안 취약점 패치파일이 공개되어 있는 다양한 문서(HWP, PDF, DOC, XLS, PPT 등)포맷의 취약점을 악용하는 경우와 위장된 내용으로 알려진 취약점이 존재하는 악의적 링크로 접속을 유도시키는 수법, 실행파일 구조의 악성파일이 육안상 문서파일처럼 보이도록 교묘하게 속임수로 위장하는 방식.

- Level 03 (고급) :
알려져 있지 않은 보안 취약점(Zero-Day Attack)을 이용하며, 사전에 각종 보안솔루션을 우회할 수 있도록 치밀하게 설계된 방식으로 이메일 전파 수법 뿐만 아니라 이동형 저장매체(USB 드라이브), 웹 사이트(XSS) 등 다중 벡터를 활용하는 방식.

각 레벨은 공격자가 사용하는 기술적 해석 방식이고, 대상자로 하여금 공격자 이메일의 신뢰도를 향상시키기 위해서 발신자 및 본문 내용의 일치성을 유지하는 경우 좀더 퀄리티 높은 공격이 수행되는 기반이 될 수 있게 된다. 쉽게 말해서 발신자의 이메일 도메인과 본문 내용이 매칭된다거나, 수신자와 관련되어 있는 도메인으로 발송되는 경우 공격 성공확률은 비례적으로 높아지게 마련이기 때문에 지능적인 공격자는 최종 표적 주변의 기업 또는 인물 탐색 및 유관 사이트의 공격을 우선 수행하는 경우가 많게 되고, 이는 연쇄적인 악성파일 감염 피해의 단초 역할을 하게 된다.

2. 국내 표적형 실제 공격 사례 공개

잉카인터넷 대응팀은 최근 특정 공격자가 국내외 주요 인터넷 업체들을 대상으로 은밀한 공격이 감행된 정황과 단서를 포착하여 지속적인 조사를 수행하고 있다. 이러한 보안위협 이슈와 관련하여 대부분의 공격 대상자들은 보안상 외부의 노출을 거부하는 것이 일반적이고, 악의적 공격에 얼마 만큼의 피해를 입었는지도 파악하기가 좀처럼 쉽지 않기 때문에 공식적으로 공개되는 경우는 거의 없다고 봐도 과언이 아니다. 그렇기 때문에 공격자로 하여금 지속적으로 악의적인 활동을 할 수 있게 해주는 원인을 제공하게 됨과 동시에 좀더 쉽게 자신의 공격 수법을 감출 수 있고, 베일에 모습을 가린채 끊임없이 공격을 할 수 있게 하는 근본적 요인으로 작용하게 된다.

이에 잉카인터넷 대응팀은 이러한 실제 표적공격의 실체를 직접 파악하고 공개하여 수 많은 기업과 기관들로 하여금 표적형 유사 보안위협을 조금이나마 예방하는데 도움이 되고자 한다. 또한, 이미 공격을 받은 기업들도 피해사실을 은폐하는데만 급급하지 말고, 신뢰할 수 있는 보안업체와 적극적으로 정보를 공유하고 외부의 전문가들로 부터 다양한 조언과 컨설팅 등을 제공받아 연쇄 피해를 끊을 수 있도록 하는 혁신적인 보안 마인드와 긍정적인 보안 협의체 도출 방안이 요구된다. 이를 통해서 지능형 지속 위협의 지속성을 끊고, 공격 수법을 충분히 공유하여 유사한 방식을 사전에 인지할 수 있는 능력을 고취시키는 노력이 절실하다.

■ 실제 타임라인으로 추적하는 총 11차에 걸친 국내 포함 글로벌 APT 공격 사례 공개  

이번에 공개하는 실제 공격 사례는 얼마전 공개했던 "국내 유명 기업 표적 공격(APT)형 수법 공개"의 악성파일과 동일인이 공격한 것으로 추정되고 있으며, 다양한 변종 공격을 작년 경부터 끊임없이 진행하고 있는 것으로 파악된다.

또한, 동일 공격자는 한컴오피스의 HWP 문서 취약점을 이용한 공격 방식 등도 사용되었던 것이 일부 확인된 상태이다. 

2011년 공격 사례 : 국내 유명 기업 표적 공격(APT)형 수법 공개
☞ http://erteam.nprotect.com/249

준비 : 2012년 03월 02일 금요일 오전 09시 51분 경 : 중국 이메일로 테스트 작업

공격자는 국내 특정 사용자의 계정을 명의 도용하여 구글메일(Gmail) 계정 체크 내용으로 교묘하게 위장된 침투용 이메일을 중국의 검색 포털 사이트인 Netease 사이트에서 제공 중인 도메인으로 발송한다. 물론, 사전 공격 시나리오에 따라 국내 특정 웹 사이트에 JAVA 취약점 파일과 최종 악성파일도 이미 설치가 완료된 상태이다. 그런데 여기서 이상한 점이 하나 있다.

공격자는 약 3분 간격으로 두차례 중국 특정 계정으로 이메일을 발송한다. 이 부분은 공격자가 침투용 APT 공격 이메일을 발송하기 이전에 자신의 계정으로 정상 작동 여부를 테스트한 것으로 추정되며, 예측 근거자료로 첫 번째 보낸 메일은 정상적인 구글 링크이지만, 두 번째 보낸 메일은 국내의 특정 웹 사이트를 해킹하여 취약점 파일을 등록한 웹 사이트로 연결되도록 구성되어 있다.

 

 

01차 공격 : 2012년 03월 02일 금요일 오전 9시 56분 경 : A사 일본 사이트 (22개 표적)

공격자는 자신의 이메일로 수신된 두 가지 형식을 모두 확인 후에 일본의 특정 이메일 사용자들에게 1차 공격을 감행하게 되며, 이것은 국내 사용자의 계정을 도용하여 일본의 특정 사용자에게 공격을 개시한 시점이다.

공격 기법은 구글 계정 체크와 관련된 내용으로 단순 위장되어 있으며, 악성 파일을 (압축)첨부한 방식이 아니라 본문에 악의적인 링크를 포함시킨 후 클릭하도록 유도하는 수법이다. 첨부파일만 분석하고 필터링하는 Anti-APT 솔루션으로는 이러한 텍스트 기반의 공격 이메일이 오히려 잠재적인 보안 위협으로 대두될 수 있고, 사용자의 보안의식에 따라 무방비 상태에서 속수무책으로 악성파일에 감염될 우려가 높다.

공격에 사용되는 이메일은 구글 사용자로 하여금 최대한 신뢰성을 유지하기 위해서 실제 구글 계정 웹 사이트에서 사용되는 원본 코드를 복사하여 사용하였지만, 실제 링크 주소에는 JAVA 취약점과 함께 해킹된 국내 웹 사이트에 스크립트 파일로 위장되어 등록되어 있던 파일이 별도로 감염되도록 구성되어 있다. 따라서 잉카인터넷 대응팀 APT 레벨에서 정의한 "2단계(중급) 공격 기법"으로 분류된다. 

 

일본 계정으로는 오전 10시 19분경까지 22개의 특정 이메일 계정으로 공격을 감행했으며, 약 10건은 메일이 차단되어 반송되었다.

02차 공격 : 2012년 03월 02일 금요일 오전 10시 20분 경 : B사 한국 사이트 (7개 표적)

약 20 여분 동안의 특정 일본 사이트들로 1차 공격을 감행한 후 공격자는 다시 표적을 유명 한국 사이트 계정으로 변경한다. 이 것이 한국을 대상으로 한 본격적인 공격이 시작된 시점이며, 공격 방식은 동일한 포맷을 그대로 유지한다. 메일 포맷에는 변화가 없이 수신자 계정만 변경하는 방식이기 때문에 짧은 시간에 다수에게 침투용 이메일을 발송하는데는 큰 어려움이 없어 보인다.

B사 한국 사이트로는 약 3 분간 총 7건의 공격 이메일을 발송하는데, 대부분 회사 그룹 메일이 아닌 개인용 이메일 주소로 보여지며, 공격자는 이미 B사 한국 사이트의 내부 직원 이메일 주소를 다수 확보하고 있던 것으로 추정이 가능하다.

03차 공격 : 2012년 03월 02일 금요일 오전 10시 24분 경 : C사 한국 사이트 (27개 표적)

B사 한국 사이트 공격을 마무리한 후 공격자는 다시 또 다른 한국 C사 사이트 계정으로 침투용 이메일을 발송하게 된다. 3차 공격에서는 27개의 또 다른 한국 기업의 이메일 주소로 약 8 분간 공격을 수행한다. C사 한국 사이트의 경우 개인사용자 정보가 B사 한국 사이트도 보다 약 4배 정도 많은 사용자들을 표적으로 삼고 있으며, 코스피 시가총액 기준 회사 규모도 C사가 B사보다 크다.

04차 공격 : 2012년 03월 02일 금요일 오전 10시 47분 경 : D사 싱가포르 사이트 (11개+@ 표적)

4차 공격은 싱가포르의 특정 사이트로 공격을 수행하는데 총 11건의 이메일을 발송하지만, 이곳에는 다수의 그룹 메일 계정이 포함되어 있다. 일부 예를 든다면 business, hr, recruit, custservice 등의 공용 이메일 계정이 포함되어 있다는 점이다. 따라서 추가적인 사용자들에게 해당 이메일이 다수 전달되었을 가능성이 높다.

05차 공격 : 2012년 03월 02일 금요일 오전 10시 52분 경 : E사 대만 사이트 (16개+@ 표적)

5차 공격은 대만의 특정 사이트로 공격을 진행되었으며, 15명의 기업용 메일 계정과 1명의 Hotmail 계정으로 이메일을 발송한다. 이 회사에도 server1, ir 등 공용 그룹 메일이 다수 포함되어 있어 별도의 수신자가 존재할 것으로 추정된다. 이번 공격에서는 특이하게도 Hotmail 계정이 하나 포함되어 있는데, 시간상 정확으로 보아서는 5차 공격 범위에 포함되어 있는 표적일 것으로 예상하여 포함하였다.

06차 공격 : 2012년 03월 02일 금요일 오전 11시 03분 경 : F사 한국 사이트 (2개+@ 표적) + 08차 이후 4개 추가

6차 공격은 해외 사이트에서 다시 한국사이트로 변경되고, 2개의 F사 한국 사이트 이메일 주소로 발송되는데, 이곳은 모두 공용으로 사용되는 그룹 메일로만 전송되었다. 수신자 이메일 계정은 db***, sys*** (일부 생략)이며 이름상 데이터 베이스 및 시스템 연구 그룹과 관련된 공용 이메일 주소로 추정된다. 따라서 공격자는 해당 기업의 중요 데이터에 접근하고 수집하기 위한 목적을 가졌던 것으로 예상된다.

또한, 6차 공격지는 8차 공격 이후에 또 다시 4곳의 계정을 추가하여 공격을 수행한다.

 

07차 공격 : 2012년 03월 02일 금요일 오전 11시 04분 경 : G사 일본(한국) 사이트 (14개+@ 표적)

7차 공격은 한국 기업이면서 일본 지사(자회사)인 웹 사이트를 표적으로 삼고 있는데, 총 14개의 이메일 계정으로 공격을 수행한다. 이곳에도 recruit, sales 등 다수의 공용 그룹 메일 계정이 포함되어 있어, 다수의 대상자가 추가될 수 있을 것으로 예상된다.

08차 공격 : 2012년 03월 02일 금요일 오전 11시 09분 경 : H사 한국 사이트 (5개+@ 표적)

8차 공격부터는 7차 공격 대상이었던 일본 G사의 한국 본사 사이트를 표적으로 공격을 시작하며, 5개 모두 공용 그룹 메일 계정을 이용하였다. 특히, security*******, intranet******* (일부생략) 등 내부 보안 및 인트라넷 관리용을 대상으로 삼았는데, 이는 공격자가 해당 기업의 중요 기밀 자료가 있는 영역에 접근하고자 했던 시도로 추정된다.

8차 공격이 끝난 다음 공격자는 다시 6차 공격을 추가하여 진행하게 된다. 아마도 6차 공격이 다소 부족했던 것으로 생각했거나, 실수로 공격을 누락하여 재시도를 했었을 가능성이 있다. 아울러 이번 공격에서는 수신자에 cert, secu***(일부생략) 등 보안 업무용 그룹메일로도 공격을 수행하였는데, 아마도 해당 메일을 받은 보안팀에 의해서 내부 대응이 진행되었을 것으로 예상된다.

09차 공격 : 2012년 03월 02일 금요일 오전 11시 13분 경 : I사 한국 사이트 (1개+@ 표적)

9차 공격은 한국의 특정 I사이트 1곳으로만 공격을 수행하는데, 이곳 역시 보안 관련 부서의 공용 그룹 메일 계정으로 보여진다. 공격자는 보안팀을 먼저 감염시켜 다양한 정보를 수집하고자 했던 것으로 추정되는데, 대부분 보안팀을 우회하여 내부 정보에 접근하고자 한다는 보안 상식과 다르게 공격자는 대담하게 보안팀을 직접적으로 노렸다는 것이 특징이다. 다른 계정을 모두 배제하고 보안 그룹 딱 1곳만 공격한 것도 혹시나 있을 제 3자의 신고나 유사 문의를 최소화 하고자 했던 것으로 추정된다. 

이렇듯 기업의 보안팀이 오히려 표적 공격의 대상으로 지정될 수 있다는 것은 아직까지 많이 알려져 있지 않았던 부분이므로, 각 기업의 보안업무 담당자들은 최신 보안 트랜드를 숙지하여 이러한 보안 위협에 노출되지 않도록 각별한 주의를 해야 할 것으로 생각된다.

10차 공격 : 2012년 03월 02일 금요일 오전 11시 14분 경 : J사 한국 사이트 (1개+@ 표적)

10차 공격역시 9차와 동일하게 1곳의 사이트로만 공격을 수행하며, 공격 대상은 기술과 관련된 공용 그룹 메일이다. 10차까지 공격에서 한가지 짚고 넘어가야 할 부분이 있는데, 6차 공격지와 10차 공격지는 모두 9차 공격지로 사용된 기업에 인수된 자회사들이다.

따라서 공격자는 9차 공격에서 과감하게 보안팀 1곳만을 정면 돌파하고자 공격 대상의 표적으로 삼았지만, 우회적으로 자회사 계정은 측면 공격을 다수 수행한 것을 알 수 있다.

11차 공격 : 2012년 03월 02일 금요일 오전 11시 15분 경 : K사 한국 사이트 (23개+@ 표적)

마지막 11차 공격은 오전 11시 15분경 시작하여, 11시 23분경까지 23개의 주소로 공격을 수행하게 되며, CEO 지원팀용 그룹 메일을 포함해서 다수의 팀단위 공용 그룹으로 공격을 수행하였다. 공격자는 다수의 팀메일을 사용하였는데, 이것으로 보아 다른 과정을 통해서 이미 다양한 기업 내부 정보 수집을 성공한 것으로 추정된다.

11차 공격을 끝으로 공격자는 정오시간에 맞추어 점심 식사를 하러 갔던 것이 아닌가 의심이 되며, 이후에 추가적인 공격 내용은 계속해서 추적이 진행 중이다.

3. 마무리

표적공격은 보안 사각지대가 존재하는 기존의 인프라 기반의 보안구조에서 탈피하고, 휴먼 정보중심의 지속적인 보안교육, 관리감독, 모니터링 등이 삼위일체가 되어야 한다. 따라서 점차 지능적으로 급변하는 사이버 위협 환경변화에 따라 새로운 보안 접근 방식이 필요한 시점이라 할 수 있다. 기존 인프라 기반의 보안 태세와 더불어 표적공격형 보안전략을 수립하고 일회성이 아닌 꾸준한 관리와 연속성을 지닌 보안전략이 필요하다.

단계별 지능형 지속 위협(APT)에 능동적으로 대처하기 위해서 융복합적인 솔루션을 통한 대응시스템 마련이 필요하며, 무엇보다 안전을 위협하는 유해 패러다임 방어에 적합하고 보안 대응을 중심으로 내부에 은밀하게 상존하는 악의적 요소들을 발본색원하고자 하는 확고한 의지와 노력이 함께 수반되어야 한다.

고도화된 공격자는 지능형 지속 위협을 수행하기 위해서 사전에 충분한 모의 침투와 치밀한 가상 시나리오를 만들고 불시에 맞춤형 공격을 수행한다는 점에서 단순하면서도 복잡한 2중성의 특징을 가지고 있고, 기업의 보안 시스템을 자유자재로 무력화하고 내부 기밀 정보를 훔치고자 하는 구체적인 목적이 있기 때문에 보안장비에 의존하는 것은 풍전등화 신세가 될 수도 있음을 명심해야 한다.