침해사고/위협동향

北 해킹그룹 여전히 활개··· 카스퍼스키 ”해킹 추적·분석 점점 어려워진다“

이종현

[디지털데일리 이종현기자] 글로벌 기업·기관을 대상으로 해킹 활동을 펼치는 한국어 기반 해킹그룹이 다수다. 대다수가 북한을 배후로 둔 이들로, 이들의 공격 능력은 글로벌 대기업의 보안망도 침투하는 수준이다.

21일 러시아 보안기업 카스퍼스키는 자사가 추적하는 지능형지속위협(APT) 그룹에 대한 현황 및 공격 트렌드를 소개하는 온라인 간담회를 개최했다.

발표는 박성수 카스퍼스키 책임연구원이 맡았다. 그는 대표적인 한국어 기반의 APT그룹으로 김수키, 안다리엘, 스카크러프트, 라자루스, 블루노로프 등을 꼽으며 이들에 대한 추적·분석 내용을 전했다.

대중에게도 익숙한 해킹그룹 김수키는 북한의 대표적인 해킹그룹이다. 해당 그룹의 또다른 이름은 탈륨이다. 2014년 한국수력원자력 해킹의 배후로 지목됐다. 일일이 세기 어려울 정도로 많은 공격 활동을 펼쳐온 곳으로, 작년 원자력연구원 해킹도 김수키에 의한 것으로 추정되는 중이다. 마이크로소프트(MS)로부터 인터넷 계정 도용으로 고소되기도 했다.

박 연구원에 따르면 김수키는 최근 복수 클러스터를 운영 중이다. 김수키라는 이름으로 해킹 활동을 하는 것이 아니라, 내부에 별도 팀(그룹)을 꾸려서 제각기 다른 형태의 공격 활동을 펼친다는 설명이다.


그는 “카스퍼스키는 베이비샤크, 애플시드, 플라워파워, 골드드래곤 등을 김수키의 클러스터로 추정, 추적 중”이라며 “언듯보면 상관 없는 것처럼 보이는 조직들이 거의 동일한 인프라스트럭처를 사용하고, 각자의 공격을 서로 다른 이름으로 펼치는 등의 정황이 확인돼 하나의 조직으로 보고 있다”고 말했다.

안다리엘의 경우 과거 라자루스와 같은 그룹으로 묶여서 됐으나 2017년부터는 별도 그룹으로 분류되는 중이다. 한국뿐만 아니라 다른 국가를 대상으로도 공격 활동을 펼치는 다른 그룹과 달리 안다리엘은 오로지 한국 기업·기관만 대상으로 삼고 있다. 한국 소프트웨어(SW)의 취약점을 잘 이용하는 것이 특징이다.

박 연구원은 “안다리엘은 국내 SW 중 취약하다고 생각되는 것들의 SW 취약점을 이용해 자신들의 악성코드를 유포하는 것이 특징이다. 이들의 공격에 의해 감염된 호스트가 국내에 꽤 많았다”고 전했다.

기업·기관보다는 개인을 대상으로 공격을 펼치는 그룹도 있다. 스카크러프트다. 언론사 기자, 탈북자, 북한 인권단체 등이 스카크러프트의 주요 공격 대상이다. 때로는 알려지지 않은 취약점(제로데이)을 이용한 공격도 펼쳐 해외 보안기업들도 주목하는 대상 중 하나다.

김수키와 함께 북한 해킹그룹을 대표하는 격인 라자루스도 빼놓을 수 없다. 박 연구원은 카스퍼스키의 한국어 기반 APT그룹 분석 보고서 중 가장 많은 주목도를 받는 것이 라자루스다고 밝혔다.

라자수느는 과거 금융 분야를 주요 공격 타깃으로 삼았었으나 최근에는 방위산업체까지 대상을 넓혔다. 미국 방산업체 록히드마틴을 사칭한 악성문서를 유포한 정확도 파악됐다. 김수키처럼 복수의 클러스터를 두고 활동하는 중이다.

다소 생소한 공격그룹도 소개됐다. 블루노로프다. 2016년 방글라데시 중앙은행을 해킹해 8100만달러를 훔쳐내 ‘북 3대 해킹그룹’으로 불리기도 했다. 오로지 금전적인 이득을 위해서만 사이버공격을 진행 중이다. 근래에는 암호화폐 거래소와 디파이(탈중앙화 금융, DeFi) 플랫폼, 대체불가능한 토큰(NFT)를 타깃으로 삼고 있다.

박 연구원은 “점점 더 해킹그룹의 전체 공격 과정을 이해하는 것이 어려워지고 있다. 위협 인텔리전스를 이용한 대응책을 세우기 위해 가장 중요한 것은 전체 공격 과정을 이해하는 게 가장 중요한데, 보안 위협이 빠르게 변화해서 이를 쫓기가 어렵다”고 말했다.

이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널