법제도/정책

[딜라이트닷넷] “가능한 모든 기업에 침입” 해킹그룹 안다리엘 ‘문어발’ 전략

최민지 기자
[ⓒ KISA]
[ⓒ KISA]

[IT전문 미디어 블로그=딜라이트닷넷]

라자루스((Lazarus) 하위조직으로 알려진 해킹그룹 안다리엘(Andariel)은 광범위하게 취약점 시스템을 살핀 후, 침투 가능한 모든 기업에 침입한다. 마치 문어(Octopus)와 같다.

이에 한국인터넷진흥원(KISA)은 지난 28일 ‘TTPs #11: Operation An Octopus - 중앙 집중형 관리 솔루션을 노리는 공격전략 분석’ 보고서를 통해 안다리엘 활동을 분석했다. 이번 사고조사는 KISA, 경찰청 안보수사국, 국가사이버안보센터 등 여러 사이버 보안 전문 기관이 협력 진행했다.

안다리엘은 국내에서 널리 사용되는 솔루션 취약점을 찾아 활용하는 것에 능숙하며, 현재도 국내 기업들에 설치된 중앙 집중형 관리 솔루션을 공격 대상으로 삼고 있다. 작년 6월부터 올해 상반기까지 안다리엘이 일으킨 사고를 다수 분석한 결과, 대부분 외부에 노출된 관리자 콘솔 포트를 통해 취약점 공격이 수행됐다. 취약한 소프트웨어를 스캔하는 코드를 제작‧실행해 손쉽게 침투할 수 있는 기업을 대상으로 공격을 진행했다.

최근 안다리엘 공격 전략은 단순 스캔성 침투 방식을 넘어서, 다수 고객사를 보유한 개발사 공급망을 통해 악성코드를 배포하는 수준으로 진화했다. 이에 기업은 서드파티 공급자 보안 상태를 철저히 검토하고, 기업 내부에서 운영 중인 서드파티 솔루션에 대한 모니터링 및 보안체계을 강화해야 한다.

KISA는 “이번 오퍼레이션의 근본적인 문제가 서드파티 공급자 보안의 실패”라며 “공급자 보안 실패는 단일 시스템의 감염을 넘어서 다수의 고객사와 시스템을 동시에 위협할 수 있는 매우 심각한 문제를 야기할 수 있다”고 우려했다.

이 보고서에서는 안다리엘 그룹이 사용한 TTP(Tactis/Techniques/Procedure)에 대해 다뤘다. 공격자는 이번 공격을 수행하기 위해 특정 국내 서버를 임대했다. 임대 업체는 고객에게 서버 제공 때 특정한 패턴을 따르는 기본 원격 데스크톱 프로토콜(RDP) 접속 비밀번호를 설정한다. 이를 알고 있는 공격자는 임대받은 서버의 IP 대역을 대상으로 무작위 대입 공격을 실행했다.

공격자는 목표 기업 정보를 수집하면서, 직접 스캐닝 코드를 개발하기도 했다. 파이썬 프로그래밍 언어를 사용해 스캐닝 코드를 작성, 취약점을 가진 소프트웨어가 구동되는 시스템을 찾았다. 구글 검색 엔진도 활용했다. 공격자 브라우저 언어 설정은 중국어로 돼 있었다. 공격자 검색어 중 일부를 보면, 네이버나 카카오톡 등 국내 서비스 휴대폰 인증을 우회하려는 시도도 있었다.

유출된 파일들은 주로 기술 연구소 데이터로, 특히 국내 기술 분야에 대한 정보 탈취에 주력했다.

보고서는 공격자가 지속적으로 국내 중앙관리형 소프트웨어 취약점에 대한 연구를 진행하면서, 단기간 내 제로데이 취약점을 개발해 시스템 공격에 취약점을 악용하고 있다는 점에 주목했다.

현재까지 발견한 바에 따르면, 취약한 것으로 확인된 제품군에는 자산관리솔루션, 데이터 유출 방지를 위한 DLP(Data Loss Prevention) 솔루션, 네트워크 접근 제어를 위한 NAC(NetworkAccess Control) 솔루션, 문서관리 솔루션 등이 있다.

이들 프로그램들은 웹 기반으로 운영돼 소스코드가 평문으로 노출됐다. 공격자가 소스코드를 쉽게 확보하고 취약점을 발견‧검증할 수 있다는 설명이다. 또, 피해를 입은 업체에서 운영 중인 중앙관리형 솔루션들은 대부분 외부 인터넷에 프로그램 포트가 열려있는 채로 방치돼 있었다. 발견된 대부분 제로데이 취약점은 인증 우회와 관련 있었다. 관리자 권한 없이 계정 정보가 담긴 파일에 접근이 가능하거나, 인증 없이 계정을 생성하거나 명령 실행이 가능했던 경우도 있었다.

KISA는 “기존에 알려진 국가 배후 APT 공격 그룹과 다른 특이사항을 확인했다”며 “특정 기업을 목표로 공격을 진행하는 것이 아니라, 취약한 서버를 찾아내어 취약점 공격에 성공하면 그때부터 공격의 목표가 결정되는 방식이다. 상황에 따라 전략을 변경하는 특징을 보여준다”고 설명했다.

이어 “일반적으로 공격그룹 고유의 악성코드가 다른 그룹과 중첩되어 발견되지 않는지만, 안다리엘이 일으킨 일부 침해사고 사례에서는 다른 공격 그룹의 악성코드가 동시에 발견되곤 한다”며 “특정 작업이나 목표에 따라 각기 다른 그룹이 협력하거나, 인력이 재배치돼 다양한 기술과 전술을 공유했다고 추정할 수 있다. 이러한 구조적 변화는 국가 차원의 사이버 공격이 더욱 조직적이고 체계적으로 진화하고 있음을 의미한다”고 덧붙였다.

한편, KISA는 방어전략으로 공급자 보안과 제로트러스트를 꼽았다. 공급업체 제품 보안 취약성은 전에 보안체계 약점을 노출시키기 때문이다. 이러한 문제점을 해결하기 위한 중요한 도구로 SBOM(Software Bill of Materials)이 주목받고 있다. 제로트러스트 경우, 모든 사용자와 시스템이 사전에 신뢰돼 있지 않다고 가정하고 모든 네트워크 트래픽을 검사하고 검증하는 보안 원칙을 의미한다. 경계 보안 한계와 내부에서 확산되는 위협을 대응하기 위한 전략이다.

최민지 기자
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널