check 3d gpu
바로가기
메뉴로 이동
본문으로 이동

문종현 “정부지원 해킹조직과 랜섬웨어 그리고 가상화폐…깊숙이 연결”

“가상화폐 가격 올리기 위해 랜섬웨어 유포…시세 오르면 채굴용 악성코드 뿌려 직접 채굴”

길민권 기자 mkgil@dailysecu.com 2018년 02월 06일 화요일

▲ 문종현 이스트시큐리티 이사 "김수키 해커 조직 여전히 한국 사이버공간에서 활발히 활동중...북한 사이버공격에 대한 관심과 투자 필요해"
▲ 문종현 이스트시큐리티 이사 "김수키 해커 조직, 여전히 한국 사이버공간에서 활발히 활동중...북한 사이버공격에 대한 관심과 투자, 전문가 필요해"
‘Kimsuky(이하 김수키)’는 여전히 사이버공간의 심연에서 은밀히 활동하고 있다. 지난 2010년부터 한국 정부부처와 기반시설, 탈북자 등을 대상으로 해킹을 시도해 오고 있던 김수키 조직은 북한 정부의 지원을 받고 있는 것으로 알려져 있다.

이 조직은 2014년 12월부터 총 6차례 한국수력원자력(이하 한수원) 도면 자료 등을 공개하고 원전 가동 중단을 주장하며 한국 사회에 혼란과 분열을 조장하려 했다. 이외에도 2016년 청와대, 통일부, 외교부 등을 사칭해 정부∙공공기관에 대량 메일을 발송해 공공기관 해킹도 시도한 바 있다. 한편 김수키 조직은 라자루스(Lazarus) 해커조직과 긴밀한 협력관계에 있으며 미국 소니픽처스 해킹, 방글라데시 중앙은행 해킹, 워너크라이 랜섬웨어, 가상화폐 거래소 해킹 등 국내∙외 유명 해킹사건들의 배후로 지목되고 있다. 그렇다면 2018년 현재 이러한 조직은 무엇을 하고 있을까.

◇랜섬웨어 뿌려 가상화폐 시세 올리고…시세 올라가면 채굴용 악성코드 뿌려 직접 채굴

binary-2170630_640.jpg
정부지원 해커조직에 대해 오랜기간 연구해 왔으며 이 분야 최고 전문가로 인정받고 있는 문종현 이스트시큐리티 이사는 2001년 이후부터 최근까지 이들 조직의 움직임을 꾸준히 추적해 오고 있다. 데일리시큐는 문 이사를 만나 이들 해커 조직의 최근 동향에 대해 들어보는 시간을 가졌다.

문종현 이사는 “지난해 5월 12일부터 전세계적으로 확산된 워너크라이(WannaCry) 랜섬웨어 유포가 비트코인 시세 급등에 불을 지피는 역할을 했다”며 “해커 조직은 지난해 상반기에 랜섬웨어를 유포해 가상화폐 시세를 올리는데 주력했고 하반기에는 가상화폐 거래소를 타깃으로 한 공격과 더불어 비트코인 시세가 오르니 채굴에 집중했다. 이렇게 볼 때 올해 초부터 가상화폐 거래소에 대한 규제가 강화되면서 시세가 떨어졌다. 그렇다면 정부지원을 받는 공격자들은 앞으로 랜섬웨어 유포를 위해 다양한 시도를 할 것으로 예상해 볼 수 있다”고 덧붙였다.

이들 조직이 가상화폐 시세에 따라 랜섬웨어와 채굴용 악성코드를 번갈아 유포하며 외화벌이에 집중해 있으며 최대한 금전적 이익을 효과적으로 얻기 위해 공격작업을 진행하고 있다는 것을 알 수 있다. 한국에서 유포되고 있는 랜섬웨어와 채굴용 악성코드의 상관관계가 김수키∙라자루스 공격그룹과 깊숙히 관련이 있다는 점에 주목해야 한다.

◇김수키 해커조직, 한국과 해외에서 활발히 공격활동 전개중

한편 김수키 조직의 활동은 한국 내에서 여전하다고 강조했다. 과거 활동했을 때와 유사한 김수키 계열의 악성파일들이 최근에도 목격되고 있다는 것이다.

문 이사는 “이 조직의 악성코드에 대해 계속 지켜보고 있다. 다양한 정찰용 악성코드 이외에도 코드를 변화시키며 업그레이드 시켜 가고 있다. 분석가들을 혼란스럽게 하기 위해 코드를 숨기려고도 한다. 핵심 코드를 암호화해서 분석을 방해하고 마치 새로운 형태의 악성파일처럼 보이게 노력하고 있다는 것을 알 수 있다. 기존 김수키 계열 악성코드와 연관성을 파악하지 못하게 하려는 시도로 파악된다”며 “알려지지 않은 취약점을 활용해 공격을 시도하고 있으며 신종 사이버무기를 연구하고 활용하려고 하는 시도들이 계속 되고 있다”고 설명했다.

공격의 범위도 글로벌화되고 있다. 타깃을 한국에 국한시키지 않고 있다는 것이다. 국내 가상화폐 거래소는 물론이고 해외 거래소에 대한 공격 그리고 개인이나 기업을 대상으로 한 공격도 계속 진행되고 있다.

문 이사는 “이들은 2016년 2월 방글라데시 중앙은행 SWIFT 해킹으로 8천100만 달러를 훔쳐내는데 성공한 경험을 갖고 있다. 해외 금융기관과 기업들을 해킹하는데 성공하면서 자신감을 얻었고 충분히 가치가 있다는 것을 경험과 학습을 통해 체험한 것이다. 이를 통해 글로벌 공격을 본격화 하고 있다”며 “한국을 대상으로는 한글문서파일(HWP)을 활용한 공격을 주로하고 있고, 해외를 공격할 때는 MS워드(DOC)나 엑셀을 주로 사용하고 있다. 분석해 보면, 문서폰트도 한국어로 되어 있고 코드도 국내 주요 기관들을 대상으로 한 해킹사건에서 볼 수 있었던 악성코드들과 유사하다는 것을 확인할 수 있다”고 설명했다.

◇신뢰를 기반으로 SNS와 카카오톡 이용해 타깃 공격

mobile-phone-1917737_640.jpg
한편 문 이사의 설명에 따르면, 이들 조직은 ‘소셜네트워크피싱(이하 SNP)’을 자주 사용한다고 말한다. 페이스북이나 트위터 등 SNS를 공격에 적극적으로 활용하고 있다는 것이다.

그는 SNP에 대해 “공격을 준비하기 전에 SNS에 공개된 정보를 통해 타깃의 소속, 성향, 친구 등을 파악하고 타깃과 친구를 맺고 프로필 사진에 여자사진을 걸어 놓기도 한다. 신뢰를 주기 위해 1개월에서 6개월까지 정상적인 활동을 한다. 타깃의 게시글에 좋아요도 눌러주고 장기간 믿음을 쌓아간다. 타깃의 친구들과도 친구를 맺어 나가고 SNS에서 네트워크를 형성해 나간다. 적절한 때가 되면 별도의 그룹을 만들어 타깃을 초대하고 정상적인 파일을 주고 받다가 서서히 악성코드가 심어진 파일들을 보내기 시작한다. 페이스북이나 트워터를 많이 활용하고 있으며 우리나라에서는 카카오톡으로도 공격 활동을 하고 있다”고 설명했다.

문 이사는 “카카오톡으로는 친구추가가 안된 상태에서 파일이나 링크를 보낸다. 대북∙탈북 단체 관계자들을 대상으로 이러한 공격을 많이 하고 있다. 지난해 중반 이후부터 단축 URL이나 엑셀파일도 보내고 있다”며 “또 공격자는 타깃이 카카오톡을 모바일로 사용하는지 PC로 사용하는지를 체크하고 PC를 사용할 경우 문서취약점을 악용한 문서파일을 보내 악성코드 감염을 시작으로 공격을 전개해 나가고 있다. 확인된 바로는 이때 악성코드도 김수키 계열의 악성코드와 유사한 것으로 분석되고 있다. 올해 이런 SNP 공격들이 더욱 기승을 부릴 것으로 예상된다”고 주의를 당부했다. SNS나 메신저를 활용할 때, 전송된 파일이나 단축 URL에 대해서는 각별한 주의를 기울여야 한다는 것이다.

공격대상은 다양하다. 정부기관, 대기업, 보안업체, 방산업체 등에서 전산직이나 보안관리자, 서버관리자, 보안솔루션 개발자 등이 주요 SNP 공격의 타깃이 되고 있다. 각별한 주의가 필요하다. 문 이사는 유관기관을 포함해 SNS 기업과 정보를 공유하며 이들 조직의 활동을 차단하는데 협조하고 있다고 전했다.

◇북한의 사이버공격에 대한 한국내 관심과 연구 및 투자 필요해

문 이사는 마지막으로 “IoT 시대에 사이버공격은 이제 디지털테러로 변화해 갈 것이다. 모든 가정에 인터넷과 연결된 IoT 기기 사용이 활성화되고 인공지능 자율주행차량, 드론 등이 개발되면서 공격자들의 관심도 이쪽으로 이동할 것”이라고 말했다.

또 “IoT 기기를 활용한 공격으로 공격자를 특정하기도 더욱 힘들어지고 타깃의 생명까지 위협할 수 있다”며 “방어자들에 대한 많은 관심과 투자가 필요하다. 분단 상황에서 북한의 사이버공격에 대한 더 많은 관심과 연구 인력들이 필요하다. 그리고 서로 분석한 정보들을 공유하고 파편화된 조각들과 퍼즐을 함께 맞춰 나가야 한다. 그것이 바로 위협 인텔리전스이다. 한국에서 몇 명의 연구원들이 이 분야에 대해 집중적으로 연구하고 정보를 공유하고 있다. 신변에 위협을 느낄 정도로 위축될 때도 있지만 꼭 필요한 연구라고 생각하고 지속적으로 해 나갈 것”이라고 밝혔다.

★정보보안 대표 미디어 데일리시큐!★

<저작권자 © 데일리시큐, 무단 전재 및 재배포 금지>
목록
2개의 의견이 있습니다.
profile photo
누구게 2018-02-06 14:49:41    
정부지원이라니요? 꼭 대한민국 정부가 해커조직을 지원한다는 말로 들리는데..
211.***.***.62
profile photo
나그마 2018-02-07 19:49:19    
제대로 이해좀 하쇼
115.***.***.51
삭제