2024-03-28 23:30 (목)
김수키(Kimsuky) 해킹조직의 한국 맞춤형 APT 공격…지금도 여전히
상태바
김수키(Kimsuky) 해킹조직의 한국 맞춤형 APT 공격…지금도 여전히
  • 길민권 기자
  • 승인 2018.02.13 16:12
이 기사를 공유합니다

국내 주요 인사들 대상으로 은밀하게 정보탈취 및 첩보활동 계속하고 있어 주의해야

▲ APT 공격 문서 내부에 포함되어 있는 'HwpSummaryInformation' 코드 화면. 이스트시큐리티 제공
▲ APT 공격 문서 내부에 포함되어 있는 'HwpSummaryInformation' 코드 화면. 이스트시큐리티 제공
지난 2013년 카스퍼스키랩을 통해 처음 명명된 이른바 ‘김수키(Kimsuky)’ 오퍼레이션은 2018년 현재까지도 새로운 방식으로 진화를 거듭하며 한국을 타깃으로 한 APT 공격을 멈추지 않고 있다. 김수키 조직은 북한 정부의 지원을 받고 있는 해킹조직으로 알려져 있다. 

이스트시큐리티 시큐리티대응센터(ESRC) 측에 따르면, 김수키 계열의 공격자는 주로 HWP 문서파일의 취약점을 활용한 스피어 피싱을 사용하지만, 상황에 따라 특정 대상의 이메일 계정정보 획득을 위한 고전적 피싱 공격을 복합적으로 사용한다.

최근까지 한국을 상대로 진행된 맞춤형 APT 공격에 식별된 대표적인 악성 문서 파일은 아래와 같습니다. 물론 이것 외에도 다수의 변종들이 존재한다.

△2016년 11월 30일 : '제46차 원내대책회의 모두발언.hwp'

△2017년 12월 01일 : '한반도 안보환경과 국방개혁 과제.hwp'

△2018년 01월 30일 : '남북 사회문화협력의 비전과 과제.hwp'

3개의 각 문서 파일에는 보안 취약점을 이용한 쉘코드가 포함되어 있다. 그런데 해당 문서 파일의 'HwpSummaryInformation' 코드를 비교해 보면 3개 모두 100% 일치된 내용이 존재하는 것을 알 수 있다.

특히 문서 지은이의 계정은 대한민국의 행정기관인 외교부를 의미하는 mofa(Ministry of Foreign Affairs)가 다년 간 사용되고 있는 것을 알 수 있다.

문서 지은이는 'mofa', 마지막 저장한 사람은 'TEST'이며, 3개 문서 모두 동일하게 설정되어 있다. 공격자는 최소 1년 이상 동일한 메타데이터를 활용했다.

가장 최근 공격에 이용된 '남북 사회문화협력의 비전과 과제.hwp' 문서 파일의 내부 스트림(Stream) 중에 'Section1', 'Section2' 코드 내부에는 동일한 쉘코드가 포함되어 있다.

쉘코드가 작동되면 1차 디코딩이 진행된다. 쉘코드의 루틴을 통해 내부에 암호화된 코드가 복호화 과정을 거치게 되는 것이다.

쉘코드는 특정 문자열('JOYBERTM')을 확인해 디코딩을 진행하고, 윈도우 정상 시스템 프로세스인 'userinit.exe' 모듈에 프로세스 할로윙('Process Hollowing') 기법으로 악성 코드를 작동시킨다.

'Process Hollowing' 기법이란 신뢰할 수 있는 시스템 프로세스를 Suspended 모드로 로드한 후 해당 프로세스에 악성 패이로드 코드를 은밀히 삽입해 실행시키는 방법이다.

그렇기 때문에 이러한 공격 기법은 파일리스 형태로 감염활동하게 되며, 정상 프로세스에 악성코드가 숨겨져 있어 탐지 회피 목적으로 활용된다.

윈도우 정상 시스템 프로세스인 'userinit.exe' 모듈에 악성 코드가 삽입되어 메모리 상에 특정 호스트 서버로 접속을 시도하는 화면도 확인할 수 있다.

악성 코드가 실행되면 해외 특정 호스트 서버(maii-daum-net.atwebpages.com)로 접속을 시도해 추가적인 명령을 받게 된다. 이때 감염된 시스템 정보가 유출되거나 공격자 명령에 따라 추가 악성파일에 노출될 수 있다. 또한 공격자는 마치 한국의 다음 이메일 서비스처럼 도메인을 위장하고 있는 경우도 있다.

또 김수키 계열 공격자는 2017년에 한국의 특정 대학과 기관들을 상대로 다수의 공격을 수행했고, 변종이 매우 다양하게 존재하고 있다.

변종에 따라 공격 명령 제어서버는 다양하게 변화를 하고 있다. 이전에 발견됐던 악성 파일은 한국의 특정 웹 사이트(ink.inkboom.co.kr)와 이메일 서비스(mail.daum.net)를 이용하기도 했다.

또한 코드 내부에는 특정 도메인의 문자열이 포함되어 있는 특징도 존재한다. 이에 따라 일부에서는 오퍼레이션 '골드드래곤' 등으로 명명하기도 했다.

- www.GoldDragon.com

- www.braveprince.com

공격자는 명령제어서버와 통신을 시도할 때 매개 변수를 사용한다. 이 매개변수는 과거 김수키(Kimsuky) 계열의 시리즈에서 발견된 사례가 다수 존재하는 것으로 조사됐다.

또 2015년 2월에 제작된 변종 중에는 명령제어 서버를 'nate-on.bugs3.com' 호스팅 서비스를 이용했고, 마치 한국의 네이트온 서비스 도메인처럼 위장한 특징이 있었다. 그런데 여기에 이용된 매개변수가 동일하게 사용된 것을 알 수 있다.

동일한 매개 변수를 사용하는 일부 변종의 경우는 'followgho.byethost7.com' 도메인을 사용하기도 한다. 해당 작전에는 'GHOST419' 이름의 키워드를 사용하게 되며, 공격자는 실제 특정 명령제어 암호에도 유사한 문자를 사용하게 된다.

또한 공격 서버에는 'GHOST419.down' 이름의 파일이 존재한다. 이 파일은 XOR 0xFF 변환으로 암호화된 EXE 악성 파일이며 명령에 따라 공격 대상자에게 추가로 유입되는 파일이다. 암호화된 파일을 복호화하면 추가 악성 파일의 내용을 확인할 수 있다.

▲ 악성코드 내부에 영문과 국문이 함께 포함된 화면.
▲ 악성코드 내부에 영문과 국문이 함께 포함된 화면.
최근 공격에 사용된 악성 파일 시리즈는 매우 다양하게 제작되어 사용되었다. 그 중 일부에는 영문과 한국어가 동시에 포함된 문장이 존재한다.

'thread wait 오유' 이 부분은 스레드 대기 오류라는 표현으로 쓰일 것으로 예상되는데, 단순 오타일 수도 있지만 '오류'라는 단어가 '오유'라고 표기되어 있는 것이 특징이다.

이스트시큐리티 측은 “과거 김수키 계열의 사이버 침투 활동은 현재까지도 계속 이어져 오고 있다”며 “의심스러운 이메일을 수신할 경우 가급적 열람을 자제하고, 의심스러운 경우 발신자에게 사실 여부를 확인하고 실행하는 습관이 필요하다”고 강조했다.

또 “공격자는 국내 주요 인사들을 상대로 은밀하게 정보탈취 및 첩보활동을 유지하고 있기 때문에 사용 중인 이메일이나 컴퓨터 암호들은 복잡한 방식으로 수시로 변경하는 것이 매우 중요하다”고 덧붙였다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★