3.20부터 ATM까지 한국 노린 해킹 조직 실체는?

2013년 3월 20일 방송과 금융사를 마비시킨 사이버테러부터 올해 현금지급기(ATM) 악성코드까지 모두 같은 해킹 조직 소행이라는 분석이 나왔다.

금융보안원(원장 허창언)은 '2017 사이버 위협 인텔리전스 보고서'를 내고 2013년부터 2017년까지 국내 금융, 국방, 대기업, 보안기업을 노린 8건의 사이버공격을 '라이플캠페인'으로 명명했다. 금보원은 국내 IT와 업무 환경을 사전에 파악해 한국을 표적한 특정 위협 그룹을 프로파일링했다. 금보원이 외부에 위협 인텔리전스 보고서를 낸 것은 처음이다.

3.20부터 ATM까지 한국 노린 해킹 조직 실체는?

금보원은 발견된 악성코드와 명령&제어(C&C) 서버 등 공통점을 근거로 국내에서 발생한 사이버 공격 8건을 한 개의 작전으로 분석했다. 군사작전 등에서 기밀 유출에 대비하거나 작전명에 의미를 부여해 임무와 지령을 명확히 할 때 코드명을 사용한다. 사이버테러 역시 작전명(캠페인)이 존재한다.

라이플캠페인과 관련된 공격은 2013년 금융과 방송사를 마비시킨 사건부터 시작된다. 2015년 국내외 방산업체 대상 표적공격, 2016년 2월 보안기업 코드서명 인증서 탈취, 2016년 5월 통신과 국방 관련 내부 자료 탈취가 포함된다. 2016년 8월 국방부 국방망 해킹사건, 올해 3월 ATM 악성코드 감염과 카드 정보탈취가 진행됐다. 공격자는 5월 금융사 직원이 자주 접속하는 사이트에 제로데이 취약점을 이용해 악성코드를 유포하고 기업 내부 침투를 시도했다.

자료:금융보안원
자료:금융보안원

금융보안원은 한국을 노린 공격 그룹을 라자루스, 블루노로프, 안다리엘로 구분했다. 글로벌 보안 기업은 3·20부터 소니픽처스 해킹사건을 일으킨 그룹을 라자루스로 명명했다. 미국 FBI는 라자루스가 북한 사이버 공격 조직이라고 밝혔다. 라자루스는 지난 6월 세계에 피해를 입힌 워너크라이 랜섬웨어 배후로 지목됐다. 금융보안원은 최근 라자루스 그룹 공격에 변화가 나타났으며 세부 해킹 조직으로 나눠졌다고 분석했다. 이 중 하나가 글로벌 금융회사를 공격하는 블루노로프며 국내에서 활동하는 안다리엘이다.

블루노로프는 2016년 2월 알려진 방글라데시 중앙은행 스위프트 부정거래 사고를 일으켰다. 블루노로프는 주로 해외에서 활동했는데 올해 1월 국내 금융사 망분리 취약점을 이용해 내부망에 악성코드를 감염시켰다. IT개발 기업을 대상으로 스피어피싱과 웹셀 공격을 한 후 내부에 침투하려는 시도가 발견됐다.

자료:금융보안원
자료:금융보안원

라자루스의 또 다른 세부조직은 안다리엘이다. 안다리엘은 3·20 사이버테러에서 발견된 악성코드와 유사한 점이 있다. 최근에는 새로운 형태 악성코드를 개발해 추적을 피한다. 안다리엘은 주로 국내 기업과 정부기관 공격에 집중한다. 이들은 엑티브엑스나 에이전트 형태로 설치되는 국내 IT제품 제로데이 취약점을 발견해 활용한다. 해당 취약점을 발견하기 위해 개발업체를 공격한다. 안다리엘은 라자루스 블로노로프와 악성코드에서 유사점이 발견되지만 새로운 공격 방식을 수행한다. 금보원은 2014년 전후로 라자루스 그룹이 조직을 분리해 활동하는 것으로 판단했다.

금보원은 안다리엘과 블루노로프 그룹이 국내 금융권 공격 시 공조하는 정황을 포착했다. 블루노로프는 주로 글로벌 금융회사를 공격했는데 최근 한글 문서 취약점을 이용한 악성코드를 만들어 공격을 수행한다. 안다리엘은 과거 주로 내부 주요 자료를 탈취하거나 파괴 등 사이버테러를 수행했는데 최근 외화벌이 사이버 범죄도 수행한다. ATM 해킹 후 카드정보를 블랙마켓에 판매하고 사행성 게임 해킹 악성코드를 개발했다.

금보원은 “라자루스와 세부조직인 블루노로프, 안다리엘 그룹이 지속해 금융권 표적 공격을 시도 한다”면서 “내부 직원이 접속해 워터링홀 공격에 악용될 수 있는 비업무 웹사이트를 점검하는 등 보안 사각지대를 제거해야 한다”고 조언했다.

국내 금융사, 국방, 보안기업을 노리는 해킹 조직(자료:금융보안원)
국내 금융사, 국방, 보안기업을 노리는 해킹 조직(자료:금융보안원)

[전자신문 CIOBIZ] 김인순 보안 전문기자 insoon@etnews.com