IT DONGA

[뉴스줌인] 마치 스파이처럼 끈질기게 공격하는 해킹, 'APT' 공격

권명관

[IT동아 권명관 기자] IT동아 편집부는 하루에 수십 건 이상의 보도자료를 받습니다. 대부분 새로운 제품, 혹은 서비스 출시 관련 소식인데요. 이에 IT동아는 독자들에게 도움될 수 있는 자료를 추려서 자세하게 전달해드리고자 합니다. 다만, 기업에서 보내준 보도자료 원문에는 전문 용어, 혹은 해당기업에서만 사용하는 독자적인 용어가 다수 포함되어 있습니다. 이런 용어 또는 IT 이슈에 익숙하지 않은 독자 여러분을 위해 보도자료를 해설하는 기획기사 '뉴스 줌인'을 전달합니다.

출처: 이스트시큐리티
제목: 통일 정책분야 연구원으로 사칭한 '금성121' APT 공격 주의

원문 요약: 이스트시큐리티가 사이버 위협 그룹, 일명 '금성121(Geumseong121)'의 APT(지능형지속위협) 공격을 예측했다. 이스트시큐리티는 금성121 그룹을 최근 일어난 다양한 해킹 사례 배후로 의심하고 있으며, '라자루스(Lazarus)', '김수키(Kimsuky)', '코니(Konni)' 등과 함께 대한민국에서 주로 활동하는 위협 조직 중 하나다.

통일 정책분야 연구원으로 위장한 이메일 화면, 출처: 이스트시큐리티
< 통일 정책분야 연구원으로 위장한 이메일 화면, 출처: 이스트시큐리티 >

해설: 이스트시큐리티 ESRC(시큐리티대응센터) 위협 분석 결과에 따르면, 금성121은 통일정책 분야 연구원으로 변장해 공격 대상의 스마트폰 전화번호 등 개인정보를 1차 수집하고, 일정 기간 후 상대방과 성별이 다른 카카오톡 프로필을 만들어 해킹을 시도하고 있다. 만약 공격 대상자가 남성일 경우에는 여성 사진과 이름으로 접근한다.

1. 대북분야에서 활동하는 주요 인사를 선별하고, 2. 주요 인사가 남성이라면 통일 정책 분야 기관에 새로 근무하는 여성 선임연구원처럼 사칭해 가짜 소개 이메일을 보낸다. 3. 이메일에는 스피어 피싱 공격처럼 악성 파일이나 URL 링크 없이 평범한 소개 또는 인사 내용을 담아 해킹 의심을 낮춘다. 4. 이후 회신(답장)을 요청하고, 회신한 사람들에게 연락 목적으로 전화번호 등을 요구한다.

5. 일반적인 이메일 소통 과정을 통해 스마트폰 전화번호를 확보하고, 일정 기간이 지난 다음 가상의 새로운 인물로 위장해 카카오톡으로 접근한다. 6. 일상에서 주고받을만한 내용으로 친밀감을 높인 뒤, 위협요소가 포함된 자료를 전달해 해킹한다.

금성121 그룹의 이 같은 APT 해킹 시도는 꾸준히 발생하고 있다. 지난 2018년 7월, 남북이산가족 전수조사를 사칭하며 HWP 문서취약점을 사용해 APT 공격을 시도한 바 있다. 또한 2019년 4월, 구글 드라이브 활용해 통일부를 사칭한 APT 공격을 통해 스피어 피싱 이메일을 유관 기관 종사자에게 발송, 악성코드 감염을 유도했다.

남북이산가족찾기 의뢰서 내용으로 위장한 악성파일 실행화면, 출처: 이스트시큐리티
< 남북이산가족찾기 의뢰서 내용으로 위장한 악성파일 실행화면, 출처: 이스트시큐리티 >

이외에도 금성121은 지난 3월, '오퍼레이션 스파이 클라우드(Operation Spy Cloud)' APT 공격을 통해 외교, 통일, 안보분야 종사자나 대북관련 단체장, 탈북민을 겨냥한 위협 활동을 계속했다. 웹 서버를 직접 디자인해 구축했으며, 구글 플레이스토어나 유튜브 등을 통해 대담하게 공격한다.

참고 사항: APT는 기존 해킹 공격과 달리 몰래 접근한 뒤, 바로 정보를 빼내가지 않는다. 때를 기다리면서 공격 대상을 천천히 살핀다. 그리고 흔적을 남기지 않고 은밀하게 공격해 보안 서비스를 무력화시키고, 정보를 유출한다. 정보 유출 시점을 바로 알아채기도 어렵다. 흔적을 지우면서 들키지 않게 조심스레 공격하기 때문. 공격 대상자가 한참 뒤에야 해킹당한 사실을 알게 된다.

APT 진행 프로세스, 출처: 안랩
< APT 진행 프로세스, 출처: 안랩 >

APT는 지능적(Advanced)이고 지속적(Persitent)으로 공격한다. 한마디로 끈질기다. 마치 첩보 영화의 스파이 활동과 같다. 공격 대상을 관찰하고, 조사하며, 분석한다. 그리고 악성코드에 감염시킨 뒤, 내부망에 접근할 수 있는 백도어를 설치해 권한을 획득한다.

또한, APT는 기존 해킹과 달리 불특정 다수가 아닌 특정 대상을 지정해 공격한다. 특정 정부의 후원을 받는 것으로 예상하고 있는 금성121과 같은 조직은 한국의 정치적인 상황과 맞물려 통일 및 대북 관계자를 겨냥한다. 지난 공격 사례를 살펴봐도 마찬가지다. 이스트소프트 ESRC 문종현 센터장이 "금성121은 최근까지 조직적으로 다년간 대한민국을 상대로 APT 공격을 수행 중이다. 체계적인 연구와 대응 노력이 필요하다"라고 강조했다. 해킹 위협에 대한 지속적인 관심과 철저한 준비만이 피해를 막을 수 있다.

글 / IT동아 권명관(tornadosn@itdonga.com)

이전 다음