북한과 연계된 해킹 조직이 미국의 중소 업체 등을 상대로 사이버 지능형지속공격(APT)을 계속 벌이고 있다는 분석이 나왔습니다. 특히 암호화폐 관련 금융기관을 표적 삼아 북한 정권의 활동에 필요한 자금을 조달한다는 지적입니다. 박형주 기자가 보도합니다.
미국 민간 사이버 보안 솔루션 회사인 프루프포인트는 24일 보고서를 통해 미국 등 세계 각지의 중소규모 사업체들이 국가 연계 해킹 조직의 사이버 지능형지속공격(APT) 작전의 표적이 되고 있다고 밝혔습니다.
그러면서 공격 행위자로 러시아와 중국, 이란과 함께 북한 해커들을 지목했습니다.
지능형지속공격(APT)이란 해커가 특정 표적을 선정한 후 피싱 이메일이나 소셜 엔지니어링 등 다양한 방법을 이용해 네트워크에 침입한 후 공격이 성공할 때까지 끊임없이 공격하는 방식을 말합니다.
보고서는 이런 공격을 가하는 숙련된 해커들은 스파이 활동, 지적 재산 탈취, 파괴적인 공격, 금융 절도, 허위 정보 확산 등을 포함한 특정 전략적 임무를 맡은 자금력을 갖춘 조직들이라고 설명했습니다.
그러면서 국가 연계 APT 행위자들은 그들의 전략적 목적에 부합하는 금융 관련 중소업체들을 주로 표적으로 삼는다고 언급했습니다.
특히 북한 연계 APT 해커들은 지난 몇 년간 암호화폐 등 자금 탈취 목적으로 금융 기관, 탈중앙화 금융, 블록체인 기술을 표적 삼는 것으로 나타났다고 보고서는 밝혔습니다.
또 이렇게 탈취한 자금은 북한 정부의 여러 다른 활동의 자금을 조달하는 데 사용된다고 덧붙였습니다.
보고서는 북한 해커들의 APT 작전과 관련해 구체적인 사례도 소개했습니다.
보고서에 따르면 미국의 한 중형 디지털 뱅킹 업체는 지난 2022년 12월 'TA444'로 명명된 북한 해커 조직의 피싱 이메일 공격을 받았습니다.
북한 해커들은 미국 뉴욕에 소재한 투자은행 'ABF 캐피탈'이 보낸 것처럼 가장한 이메일을 표적에 보냈습니다.
이 이메일에는 악성코드 멀웨어 '케이지 카멜레온'을 배포하는 온라인 주소(URL)이 숨겨져 있었습니다.
프루프포인트는 앞서 지난 1월 공개한 'TA444' 활동 관련 보고서에서 이 조직은 북한이 지원하는 첨단 위협 단체로서 신속성을 생명으로 운영된다고 설명했습니다.
이번 보고서 작성을 주도한 프루프포인트의 마이클 래지 위협 연구 담당 선임 엔지니어는 24일 VOA에, 북한 해킹 조직들이 금융기관, 블록체인 관련 기술, 암호화폐에 매우 집중하는 것으로 나타났다고 설명했습니다.
[녹취: 래지 선임 엔지니어] “They have a very tight focus on financial institutions as well as block chain related technology and cryptocurrencies. In this particular case we saw the TA 444 threat actor focusing on a digital banking institution in the United States, very much in line with their attempts to conduct cyber related campaigns to facilitate the theft of cryptocurrency or decentralized financial assets…”
특히 프루프포인트 측이 포착한 북한 해킹 조직 TA444의 경우 미국의 디지털 뱅킹 기관에 대한 공격에 집중했다며, 이는 암호화폐나 탈중앙화 금융 자산 탈취를 용이하게 하려는 그들의 사이버 작전과 매우 일치한다고 분석했습니다.
한편 한국의 정보 보안 업체 안랩의 'ASEC'팀은 23일 보고서에서 북한 해킹 조직 라자루스 그룹이 APT 작전에 사용하는 최신 해킹 수법을 소개했습니다.
안랩 측에 따르면 라자루스 그룹은 초기 침투 경로로서 MS 마이크로소프트의 인터넷 정보 서비스(IIS) 서버의 취약한 버전을 활용해 표적 시스템에 멀웨어를 배포해 왔습니다.
특히 라자루스는 이 과정에서 'DLL 사이드 로딩(DLL Side-Loading)' 기법을 사용했습니다.
이 공격 기법은 정상적인 응용 프로그램과 악성 DLL을 같은 폴더 경로에 저장해 응용 프로그램이 실행될 때 악성 DLL이 함께 작동하도록 하는 악성코드 기법입니다.
즉 악성 DLL의 이름을 정상 프로그램이 참조하는 다른 경로에 위치한 정상 DLL 파일명과 동일하게 변경해 악성 DLL이 먼저 실행되도록 하는 하는 것입니다.
안랩은 APT 위협 그룹이 초기 침투 시 주로 이같은 DLL 사이드 로딩 기법을 활용하기 때문에 표적이 될 수 있는 업체들은 비정상적인 실행 관계를 선제적으로 감시하고, 위협 그룹이 정보 유출과 '측면 이동' 등의 활동을 수행하지 못하도록 선제적인 조치를 취해야 한다고 강조했습니다.
VOA 뉴스 박형주입니다.