Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

북한

“기자 메일과 소셜 계정을 해킹하라” 사이버 스파이의 주요 먹잇감 된 언론사

2021년 이후 국가 주도의 지능형 지속 공격(Advanced Persistent Threat, APT)이 언론인과 미디어 기업에 집중되고 있다. 주공격 대상은 언론인의 업무 이메일과 소셜 미디어 계정이다. 민감한 정치적 사건이나 특정 정권에 대한 부정적 시각이 강조된 기사에 대한 추적도 이뤄지고 있다.   언론인은 스파이에게 언제나 매력적인 공격 대상이다. 언론인은 기밀 정보에 접근할 수 있고, 기업과 개인 모두에게 쉽게 신뢰받는다. 그런 면에서 미디어 구성원이라면 반드시 온라인 보안 교육을 받아야 하고, 국가 주도의 해킹 기법에 대해서 잘 알아야 한다.  보안 전문 업체 프루프포인트(Proofpoint)는 최근 보고서를 통해 중국, 북한, 이란, 터키 정부 관련 APT 집단이 언론인을 공격하고 있다고 밝혔다. 프루프포인트는 “미디어 업계 종사자는 일반인은 접근하지 못하는 정보를 볼 수 있다”라며 “언론인 이메일 계정을 적당한 시기에 해킹하면 공격자는 민감하거나 새로운 소식, 정보 출처를 획득해 필요한 정보를 얻을 수 있다. 또한 해킹한 계정으로 조작된 정보나 국가 홍보 메시지를 퍼뜨릴 수 있다. 전쟁이나 팬데믹 기간에는 가짜 정보를 제공하고 정치적으로 긴장감을 높일 수 있다”라고 설명했다.    트래킹 픽셀부터 악성코드 배포에 활용되는 언론인 메일  언론인을 공격하기 위해 해커는 APT 공격 중에서도 주로 정찰(Reconnaissance) 기법을 이용한다. 해커는 그럴듯한 미끼를 만들기 위해 공격 대상에 대한 정보를 최대한 많이 획득한다. 이 과정에서 이메일 주소를 확인하거나 악성 메시지를 열도록 유도할 수 있다.  예를 들어 공격자는 픽셀 크기의 작은 이미지를 이메일에 삽입하고 친절한 메일 내용을 담아 전송하는데, 이런 기법을 트래킹 픽셀(tracking pixel) 또는 웹 비컨(web beacon)이라고 부른다. 피해자가 이메일을 읽는 순간, 외부 IP 주소, 유저-에이전트 스트링(user-...

언론사 해킹 APT 2022.07.19

“의료기관 노린다” 미국 FBI, 마우이 랜섬웨어 경고

美 연방수사국(FBI), 사이버보안국(CISA), 재무부가 ‘마우이’라고 알려져 있는 랜섬웨어에 관한 사이버 보안 경고를 발령했다. 북한의 국영 사이버 범죄자가 적어도 2021년 5월부터 이 악성코드를 사용해 의료 및 공중보건 부문 조직을 공격해 왔다고 밝혔다.  FBI는 해당 위협 행위자가 의료기관을 노리고 있다고 추정했다. 인간의 생명과 건강을 다루는 의료기관이 의료 서비스 중단 위험을 감수하기보다는 몸값을 지불할 가능성이 높기 때문이다. 이러한 이유로 국가에서 후원받는 행위자가 계속해서 의료기관을 표적으로 삼을 것이라고 설명했다.    연방기관이 주의보를 발령한 가운데, 위협 사냥, 탐지, 대응 전문업체 스테어웰(Stairwell)은 블로그에 마우이 분석 보고서를 게시했다. 이 회사의 수석 리버스 엔지니어 사일러스 커틀러에 따르면, 마우이는 복구 지침을 제공하는 내장형 랜섬노트 또는 공격자에게 암호화 키를 전송하는 자동화된 수단 등 RaaS 업체의 도구에서 일반적으로 볼 수 있는 몇 가지 기능이 없다. 그 대신 수동으로 작동하며, 운영자는 실행 시 암호화할 파일을 지정한 다음 결과 런타임 아티팩트를 추출하는 것으로 보인다.   마우이 랜섬웨어는 최신 엔드포인트 보호를 우회할 수 있다 보안 컨설팅 업체 라레스 컨설팅(Lares Consulting)의 적대적 엔지니어링 부문 책임자 팀 맥거핀은 마우이 갱단에서 사용하는 접근법이 상당히 드문 방식이라고 평가했다. 시스템 전체에서 자동화된 랜섬웨어를 경고하고 제거하는 최신 엔드포인트 보호 및 카나리아 파일을 우회할 수 있는 방법이라는 것이다. 그는 “무작위로 흩뿌려 놓고 누군가 걸리길 바라는 ‘스프레이 앤 프레이(spray-and-pray)’ 방식의 랜섬웨어와 비교할 때 특정 파일을 표적으로 삼아 공격자가 훨씬 더 전술적인 방식으로 민감한 항목과 유출할 항목을 선택할 수 있다. 이는 중요한 파일만 표적으로 삼고 복구할 수 있게 하며, 운영체제 파일이 암호화됐을 때도 전체...

마우이 북한 랜섬웨어 2022.07.12

새로이 등장한 이란, 사우디아라비아, 러시아, 북한의 위협 집단 분석

널리 알려진 러시아와 중국의 APT(Advanced Persistent Threat)에 스포트라이트가 집중되어 있기는 하지만, 전세계적으로 다른 유형의 국가주도 위협 세력, 관련 세력의 사이버공격 사례가 증가하고 있는 추세다.    올해 사이버워콘(Cyberwarcon) 컨퍼런스에서는 세계적으로 명성이 높은 20여 명의 사이버보안 전문가들이 이렇게 잘 눈에 띄지 않지만 복잡한 위협 집단에 대한 연구 결과를 발표했다. 이들은 컨퍼런스 동안 이런 위협 집단의 전략과 변화상에 대해 설명했다. 도달 범위를 전세계로 확대하고, 더 강력해진 이란의 APT 33 가장 큰 피해를 초래하는 국가 주도의 사이버전쟁 위협 세력으로 급부상하고 있는 이란에는 가장 악명 높은 사이버 위협집단 중 하나인 APT33이 있다. APT33은 공항, 방위 관련 기업과 기관, 에너지 관련 기업과 기관을 표적으로 삼은 전력이 있는 집단이다. BAE 시스템스 어플라이드 인텔리전스(BAE Systems Applied Intelligence)의 위협 인텔리전스 애널리스트인 사헤르 나우만에 따르면, 이 집단은 대부분의 경우 사우디아라비아가 소유, 운영하는 기업과 기관에 초점을 맞추고 있다. 리파인트 키튼(Refined Kitten), 매그날리움(Magnallium), 홀미움(Holmium), 알리바바(Alibaba)로도 불리는 APT 33은 2014년부터 본격적으로 활동을 한 것으로 알려져 있다. 또 데이터를 완전히 지우는 악성코드인 샤문(Shamoon)으로 가장 잘 알려져 있다. 샤문은 2012년 사우디아라비아 석유업체인 아람코의 컴퓨터 3만 대 이상의 데이터를 삭제한 악성코드다. APT33은 중동과 유럽의 기업을 표적으로 하는 공격 캠페인에 전념했었다. 그러나 APT33은 2019년에 공격 작전의 범위를 좁혔다. 구체적으로, 특정 목적으로 도메인과 IP들을 만들어 미국의 정치적 표적들에 사용했다. 나우만에 따르면, 오만 해(Gulf of Oman)에서 발생한 지정학적 사건이...

북한 러시아 이란 2019.11.27

소니 해커 기소문을 통해 알아보는 5가지 IT 보안 교훈들

2018년 8월, 미 법무부(DoJ)는 소니 해킹과 워너크라이 랜섬웨어의 생성, 배포 혐의를 받고 있는 북한 정보공작원 박진혁(Park Jin Hyok)에 대한 기소장을 공개했다. 170페이지가 넘는 이 기소장은 미국 로스앤젤레스 FBI의 네이썬 쉴즈가 작성했으며 사이버공격 방식을 알아내기 위해 수사 당국이 사용한 포렌식 분석을 잘 보여주고 있다. 박진혁의 해킹 단체는 보안 전문가들 사이에서 여러 이름으로 불리고 있다. 라자러스 그룹(Lazarus Group), APT37, Lab 110, Group 123, 히든 코브라(Hidden Cobra), 니켈 아카데미(Nickel Academy), 그리고 리퍼(Reaper) 등이 그것이다. 이 가운데 일부는 해당 해킹 단체가 생성한 악성코드 이름에서 따온 것도 있다. 기소장은 서두에서 이 북한 해커 집단이 지난 6년 동안 각종 사이버 공격의 중심에 있었다고 주장했다. 물론 북한 정부 측은 박진혁의 존재 자체를 부인하고 있으며, 그가 기소된 사건들은 북한 정부와는 "전혀 관계가 없다"고 반박했다. 하지만 이번 기사는 박진혁이나 북한 정부의 유무죄 여부를 판단하려는 것이 아니다. FBI가 수사 과정에서 찾아낸 자료들과, 이 사건들을 통해 기업의 CISO 및 IT 관리자가 보안에 대해 배우고 명심해야 할 것들을 알아 보려고 한다. FBI가 소니 해커를 찾아낸 방법 이 기소문은 법적 관점에서 읽을 것이 아니라, 북한 정부가 네트워크에 침투하기 위해 얼마나 혈안이 되어있는 지를 중점적으로 봐야 한다. 소니 해킹 사건에 대해 FBI가 밝혀 낸 사실들은 다음과 같다. FBI는 박진혁의 움직임을 디지털로 추적할 수 있었다. 박진혁은 중국 국경 지대에서 북한 정부의 유령회사이자 군사 해킹 작전으로 알려진 조선 엑스포(Chosun Expo) 직원으로 일하고 있었다. 소니 해킹이 시작되기 직전 그는 북한으로 돌아갔다. 우선 FBI는 악성코드의 여러 부분들을 조직적으로 해체, 분석해 ...

소니 북한 라자러스 2018.10.02

IDG 블로그 | 일체의 적대행위를 중지하기로 한 판문점 선언, "사이버공간이 포함되는가"

남북한의 역사적인 4.27 판문점 선언이 발표된지 두달이 지났다. 판문점 선언 2조 1항에는 남북한은 "지상과 해상, 공중을 비롯한 모든 공간"에서 "일체의 적대 행위"를 전면 중지하기로 하였다고 규정되어 있다. 그런데 이 "모든 공간"이라고 지칭한 공간에는 사이버 공간이 포함됐을까? 이에 대해 통일부는 사이버공간 포함 여부가 명확하지 않아 차후 논의가 필요하다는 입장인데, 이는 정부가 사이버 보안에 대한 중요성을 간과하고 있다는 점을 보여주고 있다. 북한전문매체인 NK경제에 따르면, "4.27 판문점 선언에 나온 '모든 공간'에는 사이버 공간이 해당되는 것인지, 아니면 예외 대상인 것인지 답변해 주시기 바랍니다"라는 한 국회의원의 서면 질의에 대해 이런 애매모호한 답변을 했다는 것이다. . NK 경제가 입수한 통일부 답변서에는 "사이버공간의 포함 여부는 판문점 선언의 해당 조항을 어떻게 해석할 것인가에 따라 결정될 수 있을 것"이라며, "이를 위해서는 먼저 정부 내 관련 부처 간 협의가 필요하며 동 내용이 남북간 합의사항의 해석인 만큼 최종적으로 북한과도 조항 해석에 대한 합의가 이루어져야 할 것"이라고 전했다. NK 경제는 "이런 답변은 판문점 선언의 주관 부처인 통일부가 북한과 선언문을 협의하는 과정에서 사이버공간을 고려하지 않았다는 점을 시사하는 것으로, 통일부는 추후 협의를 통해 논의하겠다고 했지만 선언문 작성 시 고려되지 않았던 내용이 향후 포함될 수 있을지 여부는 미지수"라고 밝혔다. 지난 10여 년 동안 국내에서는 초대형 사이버보안 사건들이 연이어 터졌다. 한국정부가 국내 사이버보안 사건에 대한 공격주체를 북한으로 추정한 것은 2009년 7월 발생한 7.7 디도스 사태부터다. 이 사태는 2009년 7월 7일부터 9일까지 공공기관(청와대, 국회, 외교통상부, 국가정보원, 행정안전부, ...

북한 사이버공격 사이버위협 2018.07.06

"북한의 RAT와 웜 악성코드를 경계하라"…미 FBI와 DHS

미 연방수사국(FBI)과 미 국토안보부(DHS)는 북한 정부와 연계된 해커들이 시스템에 원격으로 침투해 비밀번호와 기타 민감한 데이터를 훔치는 데 사용하는 두 가지 종류의 악성코드에 대한 기술적인 경고를 세부적으로 발표했다. 이 두 가지 악성코드는 원격 접속 도구(RAT)인 조냅(Joanap)과 서버 메시지 블록(SMB) 웜인 브램블(Brambul)이다. 이들 악성코드는 북한 정부의 악의적인 사이버 작전에 대해 미국 정부가 이름붙인 히든 코브라(Hidden Cobra)의 도구로 사용됐던 것으로 알려졌다. 미국 정부는 히든 코브라의 공격자들이 지난 2009년부터 악성코드를 사용해 왔다고 주장해왔다. 이번 경고는 지난 2014년 소니 픽처스 엔터테인먼트의 사이버 공격과 관련 히든 코브라 범죄자들을 비난하는 내용을 담았던 보고서 내용도 인용했다. 또한 1년 전, 전 세계에 확산됐던 파괴적인 특징의 워너크라이(WannaCry) 악성코드 공격에도 이 조직이 가담했다는 비난이 있었다. 미국 침해사고 대응팀(US-CERT)의 기술 자문은 다음과 같다. 신뢰할 수 있는 제 3자의 보고에 따르면, 히든 코브라에 가담한 사람들은 적어도 2009년부터 언론, 항공 우주, 금융 및 핵심 인프라 부문을 포함해 미국을 비롯 전 세계의 다양한 피해자들을 겨냥해 조냅과 브램블 악성코드를 사용해 왔다. 조냅 RAT 2단계 악성코드인 조냅은 히든 코브라 해커가 "데이터 추출, 2차 페이로드 삭제 및 실행, 손상된 윈도우 장치에서의 프록시 통신 초기화" 명령 등을 원격으로 실행할 수 있는 완전한 기능의 RAT다. 이번 경고에 언급된 다른 조냅 기능에는 "파일 관리, 프로세스 관리, 디렉토리 생성 및 삭제, 노드 관리" 등이 포함돼 있다. 조냅은 피해자가 손상된 사이트에서 무의식적으로 파일을 다운로드하거나 악의적으로 심어 놓은 이메일 첨부 파일을 열어 볼 경우, 다른 악성 프로그램을 통해 삭제한 파일 형태로도 시스템을 감...

악성코드 북한 FBI 2018.06.01

"북한 안티바이러스 '실리왁찐', 트렌드마이크로 구성요소 도용했다"…체크포인트

체크포인트의 연구원은 북한의 실리왁찐(SiliVaccine) 제품이 10년 전 트렌드마이크로(Trend Micro) 안티바이러스 제품에서 가져온 기능 요소를 사용했다는 보고서를 발표했다. 체크포인트의 조사는 IDG의 마틴 윌리엄스가 분석용 소프트웨어 샘플을 공유하면서 시작됐다. 윌리엄스는 이전에 북한 IT 블로그에서 북한의 안티바이러스와 관련한 내용을 쓴 적이 있다. 북한은 잘 알려진 위협의 주체이지만, 북한 스스로는 이런 주장은 적의 선전에 지나지 않는다고 주장하고 있다. 실리왁찐은 붉은별(Red Star) 운영체제에서 실행되는 합법적 기술 가운데 하나로 북한에서 널리 사용되고 있다. 체크포인트 연구원들이 윌리엄스가 공유한 샘플을 조사한 결과, 실리왁찐에서 트렌드마이크로의 많은 안티바이러스 엔진 코드를 발견했다. 체크포인트는 "또한 실리왁진의 제작자들은 정확히 일치하는 코드들을 잘 감추지 못했다. 트렌드마이크로는 일본 업체이며 일본과 북한은 외교적이나 정치적으로 관계가 없다는 점에서 놀라운 일이다"고 말했다. 또 다른 흥미로운 발견은 북한의 안티바이러스에는 뉴워(NUWAR)와 첼라티(ZHELAT)와 유사한 특성의 악성코드에 대한 화이트리스트가 내장되어 있다는 사실이다. 트렌드마이크로 측은 체크포인트의 연구는 알고 있지만 북한이 개발한 제품에 자사의 코드가 어떻게 들어가 있는지 알지 못한다고 말했다. 트렌드마이크로는 북한의 안티바이러스 제품인 실리왁찐에 대한 체크포인트의 연구를 알고 있었으며, 체크포인트는 검증을 위해 이 소프트웨어 사본을 제공했다. 트렌드마이크로는 "이 복사본의 출처나 진위 여부는 확인할 수 없지만, 다양한 제품에서 사용되는 널리 배포된 10년 이상 된 트렌드마이크로 검색엔진 버전을 기반으로 모듈을 통합한 것 같다"고 전했다. 트렌드마이크로는 "북한 내, 혹은 북한과 비즈니스를 해본 적이 없다. 이 모듈의 사용이 완전히 무허가에 불법적인 사용임을 알고 있지만, ...

안티바이러스 북한 트렌드마이크로 2018.05.02

작전 반경이 확대된 북한 해커 그룹, "APT37"…파이어아이

보안업체인 파이어아이(FireEye)는 최근 어도비 플래시(Adobe Flash) 제로데이 취약점(CVE-2018-4878) 공격과 관련된 북한의 해커 그룹이 활동 범위와 정교성 측면에서 해킹 작전 반경을 확대한 상태라고 주장했다.  파이어아이는 한 블로그에서 제로데이 취약점 같은 도구들, 파괴적인 악성코드, 기준을 뛰어넘는 행동, 동북 아시아의 긴장 고조 등을 감안했을 때, 이 해커 그룹을 신중하게 취급해야 한다고 강조했다. 파이어아이는 이 그룹에 APT37(Reaper, 리퍼)이라는 이름을 붙인 후, 관련 보고서에서 "악성코드 개발 아티팩트, 공격 목표가 북한의 이해와 일치한다는 점을 감안했을 때, 이들이 북한 정부를 대신해 해킹 공격을 하고 있다고 확신한다"고 설명했다.  이런 확신을 뒷받침하는 데이터가 많다. 리퍼의 악성 페이로드에 관여한 개발자 가운데 한 명이 실수로 공개하게 된 개인 정보 등을 예로 들 수 있다. 또한 개발 주기도 북한의 표준시간대에 활동하는 해커들을 가리키고 있고, 공격 목표도 모두 북한의 목표와 목적과 관련이 있다. 파이어아이에 따르면, 리퍼의 해킹 공격 활동은 카스퍼스키(Kaspersky)가 스카크러프트(ScarCruft)라는 이름을 붙인 해커 그룹, 시스코 탈로스(Cisco Talos) 그룹의 보안 연구원들이 올해 초 자세하게 분석한 그룹123과 일치한다. 새로운 '수법'을 터득한 리퍼 2012년부터 활동을 시작한 것으로 추정되는 리퍼는 대한민국의 공공 부문과 민간 기업에 초점을 맞춰 정보를 수집해 왔다. 그러나 2017년 이후 표적이 일본, 베트남, 중동 등으로 확대됐다. 또한 표적으로 삼는 산업도 화학, 전자, 우주항공, 의료 및 보건, 자동차, 제조 등으로 확대시켰다. 기존에는 정부, 방위 산업 관련 업체, 언론, NGO가 주 표적이었다. 2017년에는 북한이 국내에 통신 서비스를 제공하기 위해 합작법인 설립 계약을 체결한 중동의 한...

북한 파이어아이 리퍼 2018.02.22

워너크라이 배후에 북한이 있다는 미국 정부의 주장, 믿을 수 있나

미국 백악관은 지난 5월에 발생한 대규모 랜섬웨어 공격의 범인을 발견한 것일까? 아니면 가짜 뉴스일까? 미 백악관은 북한을 2017년 5월, 미국 국민건강보험(National Health Service, NHS)을 포함한 많은 조직을 불구로 만든 세계적인 워너크라이(WannaCry) 랜섬웨어 공격의 배후로 지목하고 공식적으로 비난했다. 지난 주, 미 도널드 트럼프 정부의 국토안보보좌관 토마스 보세트는 월스트리트 저널 논설에서 북한의 해커들이 이 사이버 공격의 배후였다고 다시 주장했다. 보세트는 극단적인 트럼프식 언어로 다음과 같이 주장했다. "북한은 지난 10년동안 나쁜 행동을 해왔으며, 그 악의적인 행동은 더욱 심각해지고 있다. 워너크라이는 너무 부분별하고 무모했다." 영국 보안 장관 벤 월리스 또한 지난 10월 BBC 라디오와의 인터뷰에서 "북한 정부에게 워너크라이에 대한 책임을 물어야 한다"고 말했다. 이에 대해 북한은 "근거없는 추측"이라며, "자국에 대한 제재를 강화하기 위한 사악한 시도"라고 반박했다. 보안연구원들은 북한이라고 지목하는 몇 줄의 코드, 특히 중국 해킹 조직인 라자러스 그룹(Lazarus Group)이 북한과의 연관되어 있음을 발견했다고 주장한다. 아무도 결정적인 증거를 제시하지 못한 이 사안에 대해 미국 정부를 얼마만큼 믿어야 할까? 독립 보안분석가 그레이엄 클루리는 본지와의 인터뷰에서 "미국과 북한 간의 적대적인 현 상황에서 이런 주장이 제기된 이유에 대해 생각해보자. 정말로 북한 소행일까? 현 시점에서 이는 말하기 매우 어렵다. 권력자들은 정보를 공유하지 않기 때문에 오판하기 쉽다"고 의견을 피력했다. "한 가지 확실한 것은 만약 북한이 워너크라이를 통해 큰 돈을 벌 생각이었다면 그것은 완전히 실패였다"고 덧붙였다. 보안 소프트웨어 개발업체 트립와이어(Tripwire) 제품관...

북한 미국 증거 2017.12.27

"워너크라이 책임, 북한에 있다"…트럼프 미 행정부

12월 18일, 트럼프 미 행정부는 지난 5월 있었던 워너크라이(WannaCry) 랜섬웨어 공격은 북한의 소행이라고 비난했다. Credit: MalwareTech 미 국토안보보좌관 토마스 보세트는 월스트리트저널의 기명 논평에서 미행정부의 결론을 발표했다. 이번 발언은 지난 6월 미국 NSA, 10월 영국 정부가 제기한 주장과 유사한 것으로 증거에 기반으로 한다는 것에 주목할만 하다. "...조심스럽게 조사한 결과, 미국은 워너크라이 대규모 사이버공격이 북한의 소행이라고 오늘부터 공개적인 태도를 변화했다"고 월스트리트 저널에 전했다. 워너크라이의 결과와 파급 효과는 경제적 측면보다 더 큰 것이었다. 이 악의적인 소프트웨어는 영국 건강관리 분야의 컴퓨터에 치명적인 영향을 끼쳤으며, 중요한 작업을 하는 시스템을 손상시켰다. 5월 12일에 시작된 이 공격은 150개국, 23만 대 이상의 컴퓨터에 피해를 줬다. 워너크라이의 정치적인 파급효과로부터 빼고나면 이 공격은 얼마든지 예방할 수 있었다는 불편한 진실이 보인다. 이는 기존 시스템의 잠재적인 문제를 제대로 해결하지 않은 데서 비롯된 것으로, 장비 교체 이후 필수적인 패치를 하지 못하거나 또는 하지 않았기 때문이다. 이전 기사에서 보도한 바와 같이 워너크라이는 SMB 프로토콜 내 취약점을 표적으로 하며, NSA가 개발한 것으로 간주되는 취약점 공격 도구인 이터널블루(EternalBlue)를 활용했다. 게다가 워너크라이는 또 다른 NSA 도구인 더블 펄사(Double Pulsar) 백도어를 설치해 감염된 시스템을 원격으로 공격할 수 있도록 했다. 워너크라이는 영국의 국민건강보험(NHS), 영국 닛산(Nissan), 스페인의 텔레포니카(Telefonica), 미국의 페덱스(Fedex), 러시아의 내무부, 미국 전역의 방사선 장비, 중국 전역의 ATM 기기 등의 시스템에서 발견됐다. 멜웨어테크(MalwareTech)의 한 연구원은 워너크라이가 확산되는 ...

북한 트럼프 워너크라이 2017.12.20

토픽브리핑 | 사이버 공격의 주체 논란, 세계로 뻗어나간 북한 소행설

기-승-전-북한으로 귀결되는 모든 사이버 공격에 대한 북한 소행설은 어제오늘 일이 아니다. 수년 전부터 "이번 사건의 배후에 북한이 있다"고 주장하면 해당 단체나 보안직원 모두 책임을 면하는 만병통치약과도 같은 일이 반복되고 있으며, 마침내 이는 전 세계로 확산됐다. 파이어아이, 북한의 미국 전력 업체 대상 스피어피싱 공격 포착 한국 정부가 북한 소행으로 추정한 최초의 국내 사이버공격은 2009년 7월 발생한 7·7 디도스 사태부터다. 이 사태는 2009년 7월 7일부터 9일까지 공공기관(청와대, 국회, 외교통상부, 국가정보원, 행정안전부, 국방부, 한미연합사령부)를 비롯해, 언론, 은행(외환은행, 신한은행, 농협 등), IT 기업 등을 대상으로 한 사이버 테러였다. 2011년 4월 농협 전산망 마비 사태는 공격자가 모든 목적을 달성한 후, 증거 인멸을 목적으로 전산망마저 파괴하는 사건이었는데, 정부는 이 또한 북한의 소행이라고 밝혔다. 2012년 6월 발생한 중앙일보 해킹과 기획재정부 해킹 사건은 때마침 인민군 총참모부 공개 통첩장에서 경고한 무자비한 보복성전으로 추정했지만, 각 사건들이 핵티비스트적인 성격이 짙어 북한의 소행으로 보기는 힘들었다. MBC, KBS, YTN, 신한은행, 농협 등의 전산망을 마비시킨 2013년 3.20 전산 대란 또한 정부 당국은 북한 정찰총국의 소행으로 추정된다고 결론내렸다. 2012년 6월 28일부터 최소한 6대의 북한 내부에 있는 PC들로부터 피해 기관에 악성코드를 유포하고 PC에 저장되어 있는 자료를 절취했다고 밝혔다. 2013년 6월에는 625 사이버 테러가 발생했다. 청와대를 비롯한 새누리당, 군, 주한미군 등 다수의 정부기관과 언론사 등을 대상으로 웹 사이트 변조, DDoS, 회원 데이터 유출 등이 일어난 정보보안사고였다. 미래창조과학부는 과거 북한의 해킹 수법과 일치한다고 밝혔지만, 동일 유형의 공격을 받은 사이트에는 북한의 대표적인 대남 사이트도 포함...

북한 사이버공격 사이버범죄 2017.10.27

글로벌 칼럼 | 북한의 사이버 범죄 지문, 너무 많은 곳에 찍혀있다

조선민주주의인민공화국(DPRK, 이하 북한)은 사이버 범죄 활동이 정권을 위한 현금을 얻는 지속적인 수단으로 사용되고 있다. 전 세계의 이목이 북한이 발사하는 미사일에 고정되어 있지만, 많은 이가 김정은 정권의 추악한 모습을 보지 못하고 있다. 북한 정권은 국가, 기업, 그리고 개인에 대한 범죄 활동을 자행하는 국가다. 북한 스타일의 사이버 범죄 2017년 9월, 북한은 기존 인프라스트럭처를 활용하는 그들의 능력을 십분 발휘해 남한에 있는 미국 병사들에게 마치 비상 대피 계획을 실행 준비하는 것처럼 일련의 문자 메시지를 보냈다. 이 문자 메시지는 페이스북 메신저를 통해 전송됐다. 당시 주한 미국 공군(U.S. Forces Korea, USFK)은 이런 활동을 예상하고 이동하기 전 중복 확인하는 절차를 밟기 때문에 아무런 피해를 입지 않는다고 말했다. 또한 지난 9월, 파이어아이(FireEye)는 북한의 사이버 팀에 의해 한국의 암호화 화폐 교환소의 비트코인이 세 차례나 공격받는 정황을 포착했다. 이 공격으로 인해 한국의 금융위원회는 한국내 가상화폐공개(Initial Coin Offerings, ICO)에 대한 금지를 발표했을 수도 있다. 최근 익스프레스(Express)와 인터뷰한 영국 안보 및 첩보 당국 GCHQ(Government Communications Headquarters)의 전 국장 로버트 해니건의 메시지는 명확했다. "북한 사이버 전문가들은 우리의 돈을 노리고 있다." 허니건은 2017년 5월 영국 국민 건강보험(National Health Service)을 심각한 손상을 준 워너크라이(WannaCry) 랜섬웨어 공격이 북한의 사이버 공격의 한 예라고 지적했다. 또한 미국 NSA는 150개국의 사람들과 단체들을 공격한 워너크라이를 북한, 특히 북한의 첩보기관인 정찰총국(Reconnaissance General Bureau)의 소행으로 규정했다. 영국 BBC는 북한의 사이버 공격 역사에 대해 북한...

북한 사이버범죄 워너크라이 2017.10.11

"한국 방위산업체 해킹, 북한 소행으로 추정"

5월 10일 한국 해군 함대를 만드는 주요 계약자 가운데 하나인 한진 중공업(Hanjin Heavy Industries & Construction)에서 발생한 보안 사건을 조사한 결과를 발표했다. "북한의 소행으로 추정되지만 증거가 부족하다." 군 관계자에 따르면, 한진 중공업에서 발생한 4월 20일 해킹에 대한 조사를 공개하면서 4월 20일 한진중공업이 해킹당했을 지 모른다는 정황을 파악한 후, 유출된 군사 기밀이 무엇인지, 북한의 소행인지 등의 보안 조사를 하고 있다. 한진은 독도함을 포함해 한국 해군이 사용하는 가장 큰 전함과 상륙강습함 일부를 개발 책임을 맡고 있다. 이번 조사에서 관계 당국은 "북한이 배후에 있음을 증명하는 실체적인 증거는 없지만 그 가능성을 배제할 수 없다"고 밝혔다. 한 관계자는 "북한이 연루되었을 수도 있다. 그러나 절대적으로 그렇다고 확신할 수 없다"고 말했다. 최근 방위산업체 해킹 사건 혐의자로 북한을 지목한 것은 이상한 시점이다. 한편 소니 해킹사건 조사를 위해 구성된 러시아, 미국 등의 주요 보안업체 10여 곳이 참여한 블록버스터 작전 보고서에서 해킹 가해자는 '라자로 그룹(Lazarus Group)'으로 지난 7년 동안 미국과 한국을 주요 표적으로 사이버 공격을 여러 차례 감행한 해커 집단이라고 밝혔다. 이 나자로 그룹(Lazarus Group)은 수년동안 소니 픽처스 해킹을 포함한 다른 한국의 다른 방위산업체에 대해 다수의 공격을 펼친 것으로 추정된다. 이 그룹은 북한과 강한 연계고리가 있는 것으로 보이며, 일부에서는 그들이 공식적으로 직접 북한에 승인을 받고 있다고 주장하기도 한다. 그러나 이 블록버스터 작전과 한진중공업 공격과 연관성을 추정할 만한 증거는 전혀 없으며, 발표 시점 또한 확실히 이상하다. 북한 관계자는 "이 발표는 정치적인 행위일뿐 아무 의미없으며, 한진에 대한 공격 보도는 날...

북한 한진해킹 기무사령부 2016.05.12

"북한, 한국 워드 프로그램을 악용하는 공격의 배후로 추정"...파이어아이

보안업체 파이어아이는 보고서에서 한국에서 널리 사용되는 워드 프로그램을 악용하는데 중점을 둔 사이버 공격의 배후에 북한이 있는 것 같다고 말했다. 아래한글 워드 프로세서(Hangul Word Processor)은 한국 정부와 관공서에서 주로 사용되는 상용 프로그램이다. CVE-2015-6585 취약점은 9월 7일 한컴의 자체 개발자에 의해 패치됐다. . 이 소수의 공격들이 제대로 된 사이버 역량을 갖춘 것으로 알려진 북한에 기인한다는 파이어아이의 결론은 흥미롭다. . 가장 대표적인 사례 가운데 하나는 2014년 11월에 있었던 소니 픽처스에 대한 대단히 파괴적인 공격이다. 이 공격을 통해 소니는 민감한 회사 데이터와 이메일을 탈취당하고 많은 컴퓨터들이 복구가 불가능한 상태에 빠졌다. 드문 일이지만 FBI는 악성코드를 분석한 것을 바탕으로 북한을 소니 해킹의 배후로 지목했다. 북한에 의해 개발된 것으로 추정된 이 악성코드는 다른 공격에서도 사용된 적이 있었다. 파이어아이는 자체적으로 결론은 내리지 않았지만 한국 내 표적들과 연관된 한국의 상용 소프트웨어 프로그램을 표적으로 한 이 활동은 북한을 기반으로 활동하는 공격자와 연계됐을 지 모른다는 결론으로 이어진다. 이 악의적인 HWP 파일들을 열게 되면, 이는 파이어아이가 명명한 '항만(Hangman)'이라는 백도어를 설치한다. 이 백도어는 파일들을 다운로드하고 파일시스템들을 면밀히 살피는 데 사용된다. 항만 백도어는 데이터를 수집해 SSL(Secure Sockets Layer) 연결을 통해 C&C(command-and-control) 서버에 보내는 역할을 맡았다. 그들 서버의 IP 주소는 항만으로 하드코딩되어 있으며, 북한과 관련된 것으로 추정되는 다른 공격과도 연관되어 있다. 또한 이 보고서는 항만은 북한에 의해 개발됐을 지 모르는 '피치핏(Peachpit)'이라 부르는 다른 백도어와 유사하다고 말했다. editor@itworld.co.k...

북한 워드 한국 2015.09.11

MS 윈도우, 새 북한 표준시 지원한다

마이크로소프트 윈도우가 북한 정부가 지난 주 발표한 새로운 표준시를 곧 지원할 것으로 보인다. 마이크로소프트의 데이라이트 세이빙 타임 & 타임 존 블로그(Daylight Saving Time & Time Zone Blog)에서 마이크로소프트의 한 직원이 윈도우에서 새로운 표준시를 만드는 것에 대해서 “조사 중”이라고 밝혔다. 8월 말 혹은 9월 초에 이러한 변화가 적용될 것으로 예상된다. 지난 주 금요일 북한은 8월 15일부터 기존에 사용하고 있는 동경시보다 30분 늦은 표준시를 적용한다고 발표했다. 동경시를 사용하고 있는 한국과 30분 차이가 나게 되는 것이다. 북한에는 북한이 개발한 리눅스 운영체제가 있으나, 학교나 대학교, 도서관, 기업 등에는 윈도우가 더 널리 사용되고 있다. 마이크로소프트는 세계 각국의 결정에 따라서 운영체제의 표준시를 업데이트한 경험이 있다. 게다가 다른 시간대 선택을 처리하고 논의하기 위한 전용 블로그도 운영 중이다. 이번 결정이 흥미로운 이유 중 하나는 윈도우 10에는 미국식 영어와 영국식 영어처럼 한국어와 미묘한 차이가 있는 북한어에 특화된 언어 지원이 되지 않으며, 운영체제의 지역 설정에 한국이 하나의 지역으로 되어 있다는 점 때문이다. 마이크로소프트는 북한의 새로운 표준시 결정에 대해 구체적인 지원 내용에 대해서 밝히지 않았으며, 해당 블로그 게시물에 대해서도 공식적인 입장을 밝히지 않았다. 애플과 구글 역시 아직 입장을 표명하지 않았다. editor@itworld.co.kr

북한 윈도우 표준시 2015.08.10

북한에서 차단됐던 인스타그램, 다시 접속 가능

북한에서 인스타그램이 차단된 지 1주일이 지난 25일, 연합통신이 인스타그램 접속 차단이 해제됐다고 보도했다. 북한이 인스타그램 접속을 차단한 것은 이례적인 일이나, 북한의 비정상적인 인터넷 상황을 생각하면 놀랄 일은 아니다.   해외 TV와 인쇄매체, 독자적인 언론 매체를 금지하고 해외 라디오 방송의 전파를 차단하는 등 엄격한 정보 통제 하에서 2,500만 명의 북한 인구 대부분이 인터넷 접속을 할 수 없는 상태다. 그러나 정부 고위관료와 1,000 명 남짓으로 추정되는 평양 거주 외국인, 관광객, 언론인 등 극소수는 인터넷 접속이 가능하다. 또한 인터넷 접속은 외국인에 한해 완전히 자유롭게 허가됐다. 역설적이게도 시민의 인터넷 접속에 대한 검열이 중국보다 더 엄격함에도 불구하고, 평양의 인터넷이 중국보다 더 잘 제공되고 있다. 북한의 인스타그램 차단 이유는 밝혀지지 않았지만, 얼마 전 평양의 한 주요 호텔에서 일어난 화재가 원인일 것으로 지적된다. 보안 경찰이 화재 현장 사진 촬영을 금지했음에도 몇몇 사진이 유출된 바 있다. 북한 관영방송은 2주가 지난 지금까지도 여전히 화재에 대해 보도하지 않고 있지만, 인스타그램을 통해 유출된 사진은 이 화재 사건을 전세계에 알렸다. editor@itworld.co.kr 

북한 인스타그램 북한인터넷 2015.06.26

북한, "미국을 대상으로 사이버 공격하겠다"

북한은 미국에 대해 사이버 공격을 감행하겠다고 위협했다. 이는 미국의 실패로 돌아간 스턱스넷 류 사이버 공격의 표적이었다는 최근 보도에 대한 북한의 반응이었다. 북한에서 가장 큰 신문인 로동신문에 발행된 이 기사에서 북한은 미국에 대한 사이버 전쟁을 감행할 것이라고 말했다. 이런 호전적인 위협은 북한 미디어에서는 꽤나 일상적이며, 이것이 항상 실행으로 이어지진 않는다. 그러나 사이버 공격만 놓고 봤을 때, 북한은 과거 여러 대규모 공격의 배후로 비난받아왔다. 이런 공격이 대부분 남한을 대상으로 실행하지만 미국정부는 공개적으로 지난해 소니 픽처스를 대상으로 한 파괴적인 공격의 배후로 북한을 지목했다. 이 기사는 "북한은 미국 제국주의자들이 발발한 어떤 형태의 전쟁, 전투라 하더라도 보복할 수 있다"며, "사이버 전쟁을 시도한 이들에게 응징할 것"이라고 전했다. 이 기사는 조선노동당 기관지이자 대변인 역할을 맡고 있는 노동신문 6페이지에 게재됐다. 5월 말, 로이터는 미국이 5년 전, 이란 핵 프로그램에 사용해 수천 대의 원심 분리기를 파괴한 스턱스넷 공격과 유사한 형태로, 북한의 핵무기 프로그램에 대해 사이버 공격을 시도한 적이 있다고 보도한 바 있다. 로이터는 첩보원의 발언을 인용해 북한에 대한 공격은 바이러스가 북한의 핵 무기 컴퓨터 네트워크에 접속 권한을 획득할 수 없었기 때문에 실패로 돌아갔다고 전했다. 노동신문은 "미국은 북한이 팔짱을 낀 채로 가만히 있을 것이라고 생각한다면 오산"이라고 말했다. editor@itworld.co.kr

북한 미국 사이버전쟁 2015.06.10

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.