한미(독) 합동 보안권고문으로 보는 북의 해킹 활동 국가사이버안보센터
진행자 : 우리의 사이버 공간이 북한의 해킹 공격으로 위협받고 있습니다.
발신자, MS 원노트 - 설문조사에 응하면 30만 원의 사례비 지급한다는 메일이었습니다.
원노트 첨부파일에 악성코드를 위장시켜 놓은 자, 북한의 대표 해킹 그룹 김수키였습니다.
국내 사이버 테러 발행 건수는 하루 평균 115만여 건!
이 가운데 다수는 북한의 소행으로 추정되고,
북한의 사이버 공격으로 인한 피해액은 무려 2조 원으로 추산되고 있습니다.
은밀하게 우리의 사이버 공간을 공격하는 북한의 해킹.
안전을 지키기 위해선 어떻게 대비해야 할까요?
[자막]
어느 날 날아온 의문의 메일 한 통
끊임없이 대한민국을 위협하는 북한의 사이버 공격!
북한으로 인한 피해액 2조원
한미(독) 합동 보안권고문으로 보는 북의 해킹 활동
안현모 : 안녕하세요~ 안현모입니다.
북한의 해킹 관련한 사항들에 관해 좀 더 심층적으로 알아보기 위해서 두 분의 전문가를 모셨습니다.
박세준 : 오펜시브 시큐리티 전문 기업 티오리 박세준 입니다.
곽경주 : S2W 곽경주 입니다.
안현모: 반갑습니다. 먼저 이 얘기부터 나눠볼게요.
한미 합동 보안 권고문이 최초로 발표됐어요.
합동 보안 권고문이 발표될 정도면 북한의 사이버 공격이 심각한 것 아닌가요?
박세준 : 추적을 회피하고자 다크웹이나 방탄 호스팅 이런 서버들을 활용하면서
타 해커 조직의 악성코드를 모방하거나 인공지능 기술을 적용한
해킹 도구가 등장하는 것 같이 북한의 해킹 기술이 빠르게
진화하고 있기 때문에 한미 공동 권고문이 발표된 것으로 추측하고 있습니다.
[자막]
두 명의 전문가와 함께 알아보는 북의 해킹 활동
박세준 오펜시브 시큐리티 전문기업, 티오리 대표, 사이버작전사령부 자문위원, 국내외 해킹대회 70회 이상 우승
곽경주 S2W CTI 위협 분석 총괄이사, 과학기술정보통신부 얼라이언스 대응분과 위원, 차세대 보안리더 양성 프로그램 멘토
빠르게 진화한 북한의 해킹 기술
북한의 사이버 공격 기존 정보 탈취에서 외화벌이로 변화
이 문제를 해결하기 위해 국정원, NSA, FBI 2023년 2월 한미 정보기관 합동 보안 권고문 발표
안현모 :특히 최근에 북한의 사이버 공격이 민간 분야로까지
확대되고 있다고 하는데,
특히 이메일을 이용한 해킹 공격이 무려 74%나 된다고 들었어요.
[자막]
북한의 사이버 공격 中
스피어 피싱 메일 해킹 비율 74%
곽경주 : 최근 국정원이 국내 해킹 사고 조사과정에서 확보한
북한 해커의 해킹 메일 공격 발송용 계정이 거의 1만여 건
정도가 있었는데, 해킹 메일이 발송될 국내 가입자
이메일 주소도 4,100개 정도가 발견됐어요.
사실 공기관이나 익숙한 업체가 발신자로 있으면 열 수밖에 없거든요.
그래서 사회 심리 공학적 피싱 방법을 이용한 거라고 보시면 될 것 같고요.
최근에 문제가 됐던 메일을 몇 개 갖고 왔는데요.
어떤 점이 이상한지.. 안현모씨가 직접 찾아보시겠어요?
안현모 : 저 이런 거 많이 봤는데
[자막]
공공기관을 사칭
사회공학적 방법으로 해킹 시도
북한이 해킹을 위해 보낸 메일
관리자 사칭 계정 주의
메일 앞 아이콘의 차이로 구분
곽경주 : 네이버라고 적혀있는 부분을 유의 깊게 보셔야 하거든요.
실제로 저게 지금 네이버가 아니예요.
‘이’ 앞에 이응이 숫자 ‘0’으로 되어있는거예요.
이게 잘 봐도 보이지 않죠.
[자막]
인지해야 보이는 미세한 차이
안현모 : 제가 예를 들면, 무슨 “가상 자산을 쏘아라.” 이랬을 때,
쏠 사람은 아니지만 일단은 클릭은 할 사람이란 말이예요.
이런 이메일을 열어보는 것만으로도 해킹이 되나요?
곽경주 : 사실 일반인들이 받는 저런 피싱 메일에서
열어보기만 해서 뭔가를 해킹 당하는 경우는 별로 없으시고요.
이 이후에 URL 같은, 도메인 같은 게 하나 들어있는데
그거를 눌렀을 때, 그 다음 이제 네이버 계정을 치게 만들어요.
박세준 : 해킹 경유지로 사용된 공격자 서버들도 저희가 살펴봤는데.
그런 서버에는 특정인의 주민등록증이라든지
운전면허증, 또는 사업자등록증이 발견되어서
피싱 공격을 입은 후에 이메일에 저장된 개인정보들도
추가적으로 유출 가능성이 있다고 분석을 하고 있습니다.
안현모 : 일단 이렇게 이메일을 통한 해킹이 70%가 넘는다고 하는데
그럼 나머지 방법엔, 또 어떤 방법들이 있나요?
[자막]
이메일 피싱을 제외한 또 다른 방법은?
워터링 홀(watering hole)-
접속 빈도가 높은 사이트를 감염시켜 피해자가 해당 사이트에 접속하면 컴퓨터에 악성코드를 추가로 설치하는 방식
공급망 공격-
소프트웨어 공급망 中 취약점을 공략하여 해킹하는 방식
고위 당국자 특정인을 노리는 개인 SNS 공격
안현모 : 그리고 최근에 가장 진화한 해킹 수법이 있다고 들었어요. 뭐죠?
[자막]
북한의 사이버 공격 중 가장 진화한 수법은?
곽경주 : 사회적으로 많이 이슈가 되고 있는 랜섬웨어가 대표적인 예라고
보시면 될 것 같아요.
안현모 : 해킹을 해서 PC나 서버에 저장된 데이터를 암호화한 다음에
복구하려면 “돈을 내놔라.” 돈을 요구하는 수법이죠?
곽경주 : 네, 맞습니다. 제가 랜섬웨어에 대한 특별한 강의를 준비했습니다.
랜섬웨어
곽경주 : 랜섬웨어는 몸값을 의미하는 랜섬(Ransom) 과 악성코드를 의미하는
Malware에서 ware만 따온 합성어입니다.
즉 몸값을 뜯어내는 악성코드라는 얘기인데요.
랜섬웨어가 돈이 되다 보니 수년 전부터 수많은 랜섬웨어 그룹이
생겼고 북한도 예외는 아닙니다.
홀리고스트-
마이크로소프트에서 공개한 랜섬웨어입니다.
북한 공격 그룹인 안다리엘에 의해서 사용됐고,
금전적인 이득과 타 국가의 기밀을 탈취하는 게
주 목적으로 알려진 조직인데요.
은행, 학교 제조업체, 그리고 행사기획업체
이러한 중소기업을 대상으로
해킹을 저질렀고, 대상 장비에 침투해 파일을 암호화한 한 뒤에
이메일로 일부 파일을 전송하고, 암호 해제를 조건으로
비트코인을 요구했습니다.
돈을 지불하지 않을 시 되려 피해자의 자료를
SNS나 다크웹 등에 유포하거나
피해자가 기업인 경우, 해당 기업의 고객들에게 피해사실을
전송하겠다고 협박했습니다.
[자막]
북한의 또 다른 랜섬웨어 표적 미국
지난 2021년 캔자스의 한 병원
북한의 랜섬웨어 공격에
약 50만 달러의 비용을 지불한 병원
미 당국의 수사로 비용은 무사히 회수했으나
반복되는 북한 랜섬웨어 공격에 주의가 필요한 상황
곽경주 : 일반적으로 랜섬웨어는 총책 조직과 파트너 조직 일종의
대리 해커들이 공생관계를 이루고 있습니다.
북한 랜섬웨어도 그런 관계가 있는지 조금 더
지켜봐야 할 것 같습니다.
안현모 : 우리가 모르고 살고 있었지만, 어떻게 보면 북한과 고도의 사이버전을
이미 계속 진행하고 있었다고 해도 과언이 아니네요.
언제부터 이렇게 시작되었는지, 그 시작이 궁금해요.
곽경주 : 2009년 2월 정찰총국이 만들어졌을 때라고 보고 있고요.
북한의 정보 수집 및 외화벌이의 주요 창구였던 마약,
성매매 등이 국제 사회 제재로 막히면서 정찰총국 6개 가운데
하나인 사이버전 지도국에서 해킹을 담당하게 됐어요.
[자막]
2009년 2월 사이버전 지도국 개설 후
북한 정부에 소속된 해커
2013년 3,100명 2020년 약 6,800명 증가
존재감을 드러낸 2009년 7월
7.7 디도스 공격
곽경주 : 7.7 디도스 공격이라는게 있었고요.
외교, 안보 통일 관련 부처들에 대한 해킹,
그리고 농협 전산망 디도스 공격,
그리고 중앙일보 서버 해킹,
그리고 육군사령부 인터넷망 해킹,
그리고 2016년에는 정부 주요 인사를 대상으로 한 스마트폰 해킹.
그리고 2018년부터는 가상화폐 공격에 집중하고 있어요.
[자막]
2009 7월7일 디도스 대란
2010 외교, 안보 통일 관련 부처 해킹
2011 농협 전산망 등 디도스 공격
2012 중앙 일보 서버 해킹
2014 육군사령부 인터넷망 해킹, 한수원 서버 해킹
2016 정부 주요 인사 스마트폰 해킹, 대한항공, 대우조선, SK 등 해킹
기업, 정부, 언론사
다양한 방식의 사이버공격이 진행
가상화페를 노린 공격까지 끝나지 않은 사이버 공격
안현모 : 북한의 가상화폐 공격은 인한 피해 규모가 어마어마하다고
들었는데요. 어느 정도죠?
박세준 : 북한에 의한 가상자산 해킹 피해 규모는
전 세계적으로 2019년 2억 7,110달러, 2020년 2억 9,950달러,
2021년 4억 달러를 돌파했고, 2022년에는 16억 5,050달러로
매년 폭증하고 있는 추세입니다.
안현모 : 2022년에는 피해 액수는 한화로 환산하면 2조가 넘는 금액이에요.
전문가 : 네, 맞습니다.
[자막]
북한의 사이버 공격 피해 규모 2조 원(22년 기준)
안현모 : 자, 이러한 북한 해킹 위협에 한미 보안 공고문에 이어서
한독 합동 보안 공고문까지 발표됐습니다.
이번 공고문에는 북한 해커 조직 김수키가 구글 서비스의
보안 취약점을 악용했다고 기재되었는데요.
[자막]
'김수키'의 구글 계정 탈취
안현모 : 구글 서비스의 어떤 점을 악용해서 해킹을 한 건가요?
곽경주 : 첫 번째 방법은 크로미움 브라우저,
크로미움 브라우저의 확장 프로그램을 악용한
구글 메일의 절취입니다.
[자막]
구글을 통해 해킹을?
곽경주 : 해커가 악성 링크가 포함된 스피어피싱 이메일을 발송해서
확장 프로그램을 설치하게 유도를 했고요.
[자막]
스피어피싱 이메일을 통해 PC에 악성프로그램을 설치
곽경주 : 피해자들이 크로미움 기반 웹브라우저로 본인 G 메일에 접속하게
되면 이미 설치된 악성 확장 프로그램이 동작하게 되고,
개발자 도구 기능을 활용해 G 메일을 자동으로 절취하게 됩니다.
절취한 이메일 내용은 해커의 경유지 서버로 전송되게 되는거고요.
안현모 : G메일 같은 경우는, 이중 보안을 하니까
저는 항상 로그인할 때마다 보안 인증이 “절대 뚫리지 않겠다!” ,
“안전하다!” 라고 생각을 했었거든요.
이런 인증 절차조차도 해킹을 막아주진 못했나봐요?
곽경주 : 2차 인증 등의 개인이 설정한 보안설정은 우회가 가능한 것이고,
이를 통해서 피해자의 이메일을 은밀하게 절취한 것으로
평가하고 있습니다.
안현모 : 수법이 빠르게 진화한다는 생각이 드는데
이것보다 더 큰 문제의 해킹이 또 뭐죠?
곽경주 : 많은 분이 사용하고 있는 동기화를 이용한 해킹이 있어요.
[자막]
동기화를 이용한 해킹?
곽경주 : 피싱메일로 사전에 절취한 피해자 구글 계정으로 로그인을 하게 돼요.
그리고 나서 웹과 스마트폰을 동기화 하게 되고
해당 기능을 악용해서 공격 대상자가
별도 조작 없이 안드로이드 스마트폰에 악성 앱을 설치하게 만드는
수법입니다.
[자막]
사전에 절취한 구글 계정으로 동기화된 휴대폰을 해킹
해커가 악성 앱 게시를 위해 구글플레이 콘솔에서 악성 앱을 내부 테스트용으로 등록
사전에 해킹한 피해자 계정을 테스트 대상으로 추가
해커는 피해자 계정으로 로그인 후 Play 스토어에서 악성 앱을 설치
악성앱을 설치한 디바이스로 구글 계정과 연동된 피해자 스마트폰을 선택
동기화 기능을 통해 휴대폰에 악성 프로그램을 설치
곽경주 : 그리고 나면 악성 앱은 동기화 기능을 통해서
피해자 휴대폰에 자동 설치되게 됩니다.
안현모 : 스마트폰이 저보다 저에 대해서 더 잘 알거든요.
거의 모든 정보가 있다고 할 수 있는데.. 너무 무섭네요.
북한의 해킹이 어떻게 이루어지는지
곽경주 이사님께서 직접 보여주신다고 들었어요?
[자막]
많은 정보가 담긴 만큼
큰 피해를 불러오는 스마트폰 해킹
곽경주 : 보여드릴 시연은 백신 취약점을 이용한 북한발 원격 제어 악성코드에 대한 것들이고요. 자, 지금부터 한번 보시도록 하겠습니다.
[자막]
북한발 원격 제어 악성코드(시연)
곽경주 : 우선 시연에 앞서서 설명을 조금 드리면, 우측이 attacker라고 적혀있는 부분이 원격지에서 공격을 시도하고 공격자로 보시면 되고요.
그리고 좌측에 있는 부분은 특정 백신 관련된 소프트웨어가
설치되어 있는 서버라고 보시면 됩니다.
그래서 해당 서버를 해킹하는 시연을 보여 드릴거고요.
저희 오른쪽에 화면을 보시면, fs.exe 라는 부분이 보이는데,
이걸 저희는 웨포나이징이라고 부르거든요?
웨포나이징이 뭐냐면, 특정 취약점을 공격 할 수 있는
공격 도구가 있다면, 그걸 이제 지식이 있는 사람들이 있고,
지식이 없는 사람도 있어요.
[자막]
웨포나이징 = fs.exe
취약점 공격을 수월하게 만드는 기술
곽경주 : 그 취약점을 잘 사용하지 못하는 사람들이 있는데..
그런 지식이 없는 사람도 이 fs.exe만 가지고도
취약점을 활용할 수 있는, 악용할 수 있는
그래서 굉장히 편하게 해킹할 수 있는 도구라고 보시면 되고요.
fs. exe를 하고, 공격 대상의 ip를 적고, 뭐 이제 ‘스캔 한다’라는 건데
취약점이 있냐 없냐 뭐 이런 것들을 훑어보는 거고요.
이런 스캔 과정들을 거치고 나면은 실제 공격을 할,
공격에 사용 할 악성코드를 보내는거예요.
여기 보시면, 명령 인자에 SendFile이라는게 있거든요.
해당 서버에다가 악성코드를 집어 넣는 겁니다.
사실 백신이 설치되어 있으니까, 이걸 백신이 잡아줘야 돼요.
공격이 시도되고 있다는 것을 잡아줘야 하는데, 해당 백신은
그것을 탐지하지 못합니다. 이것을 통해 많은 피해가 양성됐었던
이슈였었고요. 지금 화면에 보시면, Success! 라는 표현이 나오는데
‘성공적으로 악성코드를 밀어넣었다.’ 그리고 실제 왼쪽 화면을 보시게
되면 오른쪽에 공격자가 주입시킨 악성코드가 실제로
해당 서버에 위치하고 있다는 것을 보실 수 있고요.
성공적으로 악성코드가 들어간 것이죠.
[자막]
명령어를 통해 성공적으로 악성코드 삽입
곽경주 : 사실 공격자의 최종 목적은 파일을 실행시킬 수 있어야 해요.
그게 실제 공격이 이루어지는 것이거든요?
지금은 또 다른 명령어로 해당 악성코드를 실행시키는 것입니다.
run 이라는 명령어를 집어넣게 되는 것이고요. 그리고 나면 실제 해당
악성코드가 동작하게 되는거예요. 지금 제가 시연에서 보여드리는
악성코드는 Gh0st RAT라는 악성코드인데 북한에서 자주 사용하는
RAT 악성코드예요. RAT는 무엇이냐면, Remote Administration Tool.
쉽게 말해서, 원격 제어 악성코드이고요. 원격에서 피해자 PC를
마음껏 조종할 수 있는 것입니다. 그래서 우측에 공격자가
해당 Gh0st RAT를 운영할 수 있는 화면이 뜬 것이고요.
감염된 서버의 ip와 환경들, 컴퓨터의 이름, 그리고 운영 체제의 종류
이런 것들이 화면에 떴고요. 이때부터는 이제 PC가 아예 장악된거예요.
PC가 아예 장악이 되었고, 해커 마음대로 만들 수 있는 겁니다.
[자막]
PC가 장악될 경우
PC 사용자의 화면 보기
PC 사용자 타이핑 훔쳐보기
공격자 화면의 타이핑 기록
원격으로 사용자 PC 카메라 훔쳐보기
사용자 PC 강제 재부팅
항상 조심해야 하는 사이버 보안
안현모 : 이번 한미 합동 보안 공고문에 포함된 내용이 뭐가 있냐면요.
북한 사이버 행위자들이 랜섬웨어 공격을
가하는 데 어떠한 전술과 기술, 절차를 사용했는지
관련 침해지표를 같이 발표를 했더라고요.
박세준 대표님께서 침해 지표와 관련한 미니 강연을 준비하셨다고요?
박세준 : 북한의 사이버 TTP라고 불리는 침해지표에 대해서
자세히 설명해 드리도록 하겠습니다.
[자막]
사이버 TTP, 침해지표
박세준 : 먼저, 사이버 보안에서 TTP에 대해 설명해 드리자면
Tactics(전략), Techniques(기술), Procedures(절차)를 의미하는
전략과 기술, 그리고 절차를 의미합니다.
전략은 공격자의 공격 목표와 행위를 설명하고,
기술은 그들이 사용하는 공격 방식을, 절차는 공격의 전체적인 순서나
흐름을 보여주게 됩니다.
이를 통해 보안 전문가들이 공격자의 행동 패턴을 설명하고,
위협을 이해하고, 대응 전략을 수립할 수 있게 해줍니다.
북한 랜섬웨어 공격에서 관찰된 TTP는
무엇이 있는지 말씀드리도록 하겠습니다.
[자막]
인프라 구축-
사이버공격을 수행하기 위해 타인 명의의 가상자산 서비스 계정을 생성하고
IP, 도메인 등 인프라를 조달
정체 교란-
공격 사실을 은폐하기 위해 제3의 협조자를(로) 통하여(위장하여) 활동
박세준 : 북한의 해커는 일반적인 취약점을 악용해서 네트워크에 대한
접근 권한과 관리자 권한을 획득하는게 됩니다.
예를 들어, 중소병원에서 일반적으로 사용하는 오픈 소스 메신저인
X-Popup 의 트로이 목마 파일을 통해서
악성코드를 퍼뜨릴 가능성도 있고요.
지금 자막으로 나가는 이 도메인들을 활용해서 악성코드를 퍼뜨리는
행위도 진행했었습니다.
[자막]
xpopup.pe. kr / xpopup.com
xpopup.pe. kr IP 주소 115.68.95.128
xpopup.com IP 주소 11.205.197.111
박세준 : 북한 해커가 사용할 수 있는 비트코인 지갑 주소들이 공개되었습니다.
한미 합동 보안 권고문을 꼭 확인하시기를 바랍니다.
박세준 : 이번엔 침해지표에 대해 이야기해보도록 하겠습니다.
Indicators of Compromise라는, IoC라고도 불리는 침해지표는
인프라 시스템이나 네트워크에 대한 보안 침해의 증거가 될 수 있는
데이터를 뜻합니다.
예를 들어서, 북한의 수상한 네트워크 IP 접속 기록이라든지
비정상적인 프로그램 실행 등 특정한 패턴을 미리 알고 있으면,
이런 시도들을 사전에 차단할 수 있기 때문에
주의 깊게 살펴봐야 합니다.
실시간으로 정보를 공유하는 것은 사이버 보안에서 매우 중요합니다.
다방면에서 쌓이는 정보는 많으면 많을수록 좋고,
잘 정제되고 분석된 정보의 힘은 막강하기 때문입니다.
이번 한미 합동 보안 권고문에는
북한 사이버 공격자가 개발한 것으로 추정되는 원격 제어
트로이 목마와 같은 맞춤형 악성코드에 대한 해시 및
ip 주소를 포함하고 있습니다.
발표된 침해지표를 활용하고 지속적인 보안 훈련과
정기적인 시스템 업데이트 및 보안 감사, 그리고 능동적인 모니터링을
적극적으로 하시기를 바랍니다.
[자막]
적극적인 위협정보 공유가
미래의 사이버 공격을 예방한다
안현모 : 북한 해킹에 대해 여러 가지 이야기를 나눠봤는데요.
아무래도 무엇보다 중요한 것이 예방이 아닐까라는 생각이 들어요.
어떻게 대비해야 할까요?
곽경주 : 이메일로 인한 해킹 수법이 증가하면서
개인들은 발신자 주소 등을 꼼꼼히 살펴봐야 합니다.
메일 앞에 있는 아이콘을 주의 깊게 살펴봐야 하고요.
그리고 정부 기관에서 공개하는 북한 해킹 관련 도메인라던가
유사한 형태의 도메인을 사전에 차단하면 좋습니다.
그리고 지인이나 공공기관에서 보낸 이메일에 첨부된 파일을
무작정 열어보기보다는 발신자에게 발송 여부를
한번 확인하시면 좋아요. 의심스러운 메일이면..
이런 것들을 확인한 후에 열람하는 것도
해킹 피해를 방지하는 방법 중 하나입니다.
안현모 : 이러한 예방을 다 했음에도 불구하고 만에 하나
랜섬웨어 공격을 당했다. 그렇게 해킹을 당했을 때
어떻게 대처해야 될까요?
곽경주 : 침착하게 백업을 해놨는지 그런 검사들을 진행하시고,
바이러스 백신 프로그램으로 백업 데이터를 한번 더 검증하고
악성코드가 없는지 확인을 개인적으로 해보셔야 될 것 같아요.
국가 정보원과 한국 인터넷 진흥원 또는 경찰청 등에 우선 사고를
신고하셔야 하고요.
그들이 원하는 금액을 지불한다고 하더라도, 그 안에 있는 자료를
되찾는다. 해커가 그것을 다시 복구해준다. 라는 것은
사실 불분명하거든요. 그래서 먼저 신고를 하시고
피해를 최소화하는 것이 중요합니다.
[자막]
여전히 진행 중인 북과 사이버 전쟁!
예방과 신고가 우리를 지키는 가장 좋은 방법입니다
안현모 : 기술자료 절취, 외교 안보 정보 수집,
가상화폐 및 암호화폐 탈취와 공공기관 기업을 대상으로 한 랜섬웨어
공격까지...
우리 사회 전반에 북한 해킹 위험에 노출되어 있는데요.
그 어느 때보다 사이버 보안에 신경 써야 할 시점입니다.
오늘 알려드린 예방법들을 생활화하셔서
갑자기 찾아올 수 있는 북한 해킹 위험에 대비하길 바랍니다.
우리 모두 함께 일상의 평화를 위해, 보안합시다!
[자막]
국가사이버안보센터
National Cyber Security Center
