분석 정보/악성코드 분석 정보

북한 사이버공격은 휴전이 아닌 현재 진행형 위협

TACHYON & ISARC 2014. 7. 3. 09:17
1. 서막에 불과! 언제 어디서나(?) 대남 사이버공작

과거와 달리 현대에서는 정보통신기술 발달과 고속 네트워크 인프라의 확충으로 주요 정부기반 시설 및 국가방위 지휘통제 체계 등이 자동화 기반의 컴퓨터 시스템으로 운용되고 있다. 이렇듯 국가 주요 시스템이 다양한 전산망으로 연결되어 있기 때문에 그에 대한 보안은 매우 중요하다. 

지난 2009년 7월 7일 발생한 DDoS 공격, 2013년 3월 20일 발생한 언론사·금융사 등을 상대로 한 사이버테러, 2013년 6월 25일 어나니머스 국제 해킹그룹을 사칭한 사이버전(戰) 등 북한의 사이버테러는 갈수록 과감하고 노골적으로 발전되고 있다. 

북한의 국지적 도발 전략은 물론이고, 사이버 상으로도 대한민국의 안보를 크게 위협하고 있는 실정이다. 이를테면 김일성 군사종합대학, 김책공대, 정찰총국 산하 작전국의 모란봉 대학 등에서 사이버전(戰) 요원들을 매년 수백명이상 배출하는 것으로 알려져 있다.

특히, 1986년 당시 김정일의 지시로 평양시 형제산구역 제산리에 설립된 미림대학(조선인민군 지휘자동화 대학/144부대)은 매년 수백명 이상의 사이버전 전문인력이 양성된다. 졸업생들 중 일부는 정찰총국 산하 사이버 전담부서인 110연구소, 121국, 414호 연락소, 128호 연락소, 722호 연락소 등에 배치된다고 알려져 있으며, 해외 거점을 통한 대남 정보수집과 정보전 등이 이들의 주요 임무이다.

북한의 김정은은 2012년 2월 중국에 파견됐던 정찰총국 3국 사이버 전사들을 평양으로 불러 "정찰총국만 있으면 미국의 제재가 두렵지 않다. 강성국가 건설은 문제없다." 등의 발언을 했으며, 정찰총국이 온라인상에서 외화를 많이 벌어들여 포상금과 함께 고급주택을 제공하였으며, 군사칭호도 상좌, 대좌급으로 올려주었다고 한다.

이처럼 북한은 주요전략 무기로 핵, 미사일, 무인기 등과 함께 사이버 테러를 중점 비대칭 전력으로 발전시키고 있다.

2. 사이버상의 지하땅굴, 잠수함, 무인정찰기는 현재 진행형

그 동안 공식적으로 발표됐던 북한의 사이버테러는 외부적으로 크게 작용한 공격들로 마치 보여주기 식의 의도적인 성향을 가지고 있다. 주요 정부기관 및 금융, 언론사들을 상대로 한 공격은 그들에게 있어 상징적인 의미를 부여하기도 한다. 전문적인 사이버전사를 육성하고, 우수한 인력만 보유하고 있다면 많은 비용을 들이지 않고도 얼마든지 대규모의 사이버공격을 가할 수 있다는 점이다.

더불어 북한은 자유로운 인터넷 접속을 거부하고 있는 유일한 국가 중에 하나이지만, 반대로 대한민국은 인터넷 속도 및 환경이 세계 최고 수준을 유지하고 있어 북한에게는 더 없이 유리한 작전공간인 셈이다.


북한의 사이버침투 활동은 조기탐지를 회피하기 위해서 매우 은밀하고 조용하게 이뤄진다. 그렇기 때문에 외부에 알려지는 파괴적인 공격과 상시적으로 진행되는 내부 정찰활동은 구분되어 있다. 평상시 사이버전사들은 주요 목표대상에게 꾸준히 악성파일이 포함된 이메일로 공격을 시도한다.

보통 해당 기관이나 기업 등에서 사용하는 문서파일의 취약점을 이용하는 경우가 많고, 보안취약점에 의해서 악성파일에 노출되면 컴퓨터 시스템의 정보와 키로깅 기능을 1차적으로 수행한 후 이메일, 웹 서버 등으로 은밀하게 전송한다.

2013년 8월 6일, 2014년 5월 23일과 6월 5일에도 HWP 문서로 위장하여 추가 설치되는 악성파일이 제작되었는데, 스피어피싱 공격에 이용된 아래의 악성파일은 북한에서 최근까지 사이버 침투 및 정찰활동을 계속 이어가고 있다는 것을 증명한다.

잉카인터넷 시큐리티대응센터(ISARC)에서는 해당 캠페인[Campaign]을 "Operation Black Jack" 이라고 명명하여 추적 및 감시활동을 계속 진행 중이다.

먼저 2013년 8월 6일 제작된 악성파일은 무료 인도 웹메일인 "jack88888@india.com" 계정으로 감염시스템의 정보를 암호화하여 수집하고, 메일 서버를 통해서 추가적인 악성파일을 설치한다.

● 오퍼레이션 블랙잭

 
2013년에 이어 2014년 5월 23일과 6월 4일에 제작된 변종 악성파일 역시 기존과 동일하게 Jack+숫자 이라는 가변ID 명의로 인도의 무료 웹메일로 감염 시스템의 정보수집 및 중간명령제어 서버로 활용하고 있다.

아래화면은 "jack99988@indial.com 계정을 사용하는 악성파일의 내부 코드 모습이다.


아래 악성파일은 "jack84932@india.com" 메일 계정을 사용하고 있으며, 약 2년간 악성파일 제어용 웹메일 서버로 활용하고 있는 상태이다. 


일차 침투 및 정찰목적으로 운영되는 웹 메일서버들은 이외에도 매우 다양하게 운영되고 있으며, 일반 웹 하드(서버)를 이용해서 정보수집을 하는 경우도 존재한다. 공격자가 운영하는 웹 메일에는 2014년 7월 초 최근까지 감염된 컴퓨터의 정보 및 키로깅 자료 등이 암호화되어 유출되었다.


유출된 정보는 "1.PDF" 파일명으로 암호화된 상태로 첨부되어 전송된다. 암호된 코드를 복호화할 경우 아래와 같이 실행한 HWP 문서 등의 내용 및 키로깅 내용을 볼 수 있다. 



공격자는 웹 메일에 특정 악성파일을 신규로 등록해 두고, 감염된 컴퓨터에 추가 설치를 진행하기도 한다. 이 악성파일 역시 "1.PDF" 이름으로 첨부되어 있으며, 한국의 한메일(DAUM) 계정으로 등록된 것을 알 수 있다.


이메일을 이용한 스피어피싱 기법외에도 정상적인 내외부 업데이트 서버의 파일을 악성파일로 교체하는 기법이나 특정 분야의 관계자들이 주로 접속하는 웹 사이트를 해킹해서 Exploit 코드를 삽입시키는 워터링 홀 기법을 활용하기도 한다.

북한의 사이버전사들은 제 3국 등을 통해서 다양한 공격을 수행하고 있고, 평상시에는 외화벌이 목적 등으로 불법적인 사이버범죄에도 적극 가담하고 있다.

다양한 부작용으로 인해서 외부에도 알려질 수 있는 DDoS 공격이나 특정 웹 사이트의 메인 화면을 변경하는 Deface 공격, 컴퓨터의 중요 데이터 및 MBR 영역을 파괴시키는 행위만을 놓고 보았을 때는 북한의 공격이 상대적으로 적은 것이 아닌가라는 생각도 해 볼 수 있다.

그러나 그들은 외부에 노출되는 것을 최대한 숨긴다. 대남 사이버 침투 및 정찰활동은 은밀하고 오랜 기간 유지되어야 하기 때문에 더욱 더 들키지 않고 조용하게 사이버 작전 행위를 하는데 더 많은 신경을 쓰고 있다. 아울러 각종 군사 및 정부기관의 기밀자료 수집이 주요 목적에 해당되기 때문에 사이버상에 다양한 땅굴을 파고, 각종 침투전술을 준비하고 있다가 작전 및 지령에 따라 테러적인 공격을 수행하게 된다.

이처럼 북한의 사이버전(戰)은 매우 조용하고 은밀하게 계획되고 있다는 점을 명심해야 하고, 언제든지 발생할 수 있는 사이버테러에 적극 대비를 해야 할 것이다.