사이버 스파이, 대한민국 주요 기관들을 공격하다...북한 해커들로 추정

IDG News Service
국제 문제, 국가 안보, 한반도 통일에 대해 연구하는 대한민국 정부기관들이 북한 소속으로 추정하는 사이버 스파이에 계속 시달리고 있다고 한 보안업체가 주장했다.

안티바이러스 개발업체인 카스퍼스키 랩의 연구원들은 지난 수개월동안 표적이 된 기관으로부터 민감한 정보를 훔치기 위해 사용된 김수기(Kimsuky)라고 명명된 악성코드를 포함한 이 공격을 지난 수 개월동안 모니터링하고 있었다.

피해자 목록은 알려지지 않았다. 그러나 카스퍼스키의 기술 분석은 다음과 같은 기관들이 표적이 됐다고 추정했다.

- 국가 안보, 통일, 국제 정치 경제 등을 연구하는 세종연구소
- 국방에 대한 계획, 보안, 전략, 인력 개발, 무기 체계 연구기관인 한국국방연구원(KIDA)
- 한반도 통일과 남북한 대화를 관장하는 대한민국 통일부
- 해운 물류업체인 현대상선 등

카스퍼스키 랩 악성코드 연구원 드미트리 타라카노프는 "11개는 남한에 기반으로 했으며, 두 개는 중국에서 위치하고 있었다"고 블로그를 통해 전했다.

카스퍼스키에 의해 탐지된 악성코드는 Trojan.Win32.Kimsuky로서 공격자들과 mail.bg라 불리는 불가리아 무료 웹메일 서비스를 통해 통신한다.

타라카노프는 "공격자가 그들의 표적에 김수기 트로이목마 프로그램을 어떻게 배포했는지는 불명확하다. 하지만 스피어 피싱이 가장 가능성이 높다"고 말했다.

이번 악성코드는 다른 용도에 사용되는 여러 개의 모듈을 갖고 있다. 키로깅(keylogging), 감염된 컴퓨터에서 디렉토리 목록 수집, 국내 한컴 오피스 문서 형식인 HWP로 만들어진 문서 훔치기, 감염된 컴퓨터를 원격으로 조정하는 것을 허용하기 등으로 기능이 나눠진다.
타라카노프는 "원격 조정 모듈은 실제로 합법적인 원격 제어 애플리케이션인 팀뷰어의 수정 버전"이라고 말했다.

이 악성코드는 웹메일 기반 기술을 사용해 공격자들에게 감염 현황을 보고하고 훔친 모든 데이터를 보낸다. 이 데이터는 암호화되어 있으며 공격자에 의해 사용되어지는 하드코딩된 핫메일 계정에 보내진다.

시스템이 시작되면 이 악성코드는 안랩 PC 보안제품의 방화벽 기능을 무력화하려고 시도하고, 현재 방화벽이 실행되고 있지 않다는 것을 사용자들이 알아차리지 못하게 하기 위해 윈도우 보안센터 서비스를 끈다.

많은 국내 기관들이 안랩 보안 제품을 사용하고 있기 때문에 표적들은 전부 국내에 있다. 공격자는 다른 보안 개발업체의 제품을 회피할 시도조차 하지 않는다.

이 연구원들은 표적이 된 기관에서 탐지된 것은 이 공격자들이 북한일 수 있다는 것을 쉽게 추정할 수 있었다고 말했다. 이들 주장을 뒷받침하는 증거로는 공격자가 사용한 IP 주소의 지리 정보가 있다.

타라카노프는 "우리는 김수기 운영자의 의해 사용된 열개의 IP 주소를 관측한 결과, 그들 모두는 중국 지린성과 라오닝 성 네트워크 범위에 있었다"고 말했다.
이 연구원은 "재밌는 것은 이 ISP들은 주로 북한 회선이라고 추정되는 인터넷 접속을 서비스하고 있었다"고 말했다.

남한은 최근 북한 해커들로 추정되는 공격자로부터 정부기관, 연구소들을 향한 사이버공격을 당하고 있다. 그러나 일반적으로 대부분의 사이버 공격은 공격자들의 위치를 추정하기란 사실상 불가능하다. editor@itworld.co.kr