나눔마당

    등록일 : 2018-02-21 오후 1:49:05  조회수 : 625
  2541 . 北 정보탈취 전문 해킹조직 'APT37' 전모 공개
  등록자 : nocutnews        파일 :

美 사이버 보안업체 '파이어아이' 북한 APT37 분석보고서 공개


북한 해킹조직 APT37의 공격대상과 지역(그래픽=파이어아이FireEye 보고서)

'APT37'로 명명된 북한의 해킹 조직이 공격의 범위와 정교함을 한층 높이고 있으며, 이제 한국 뿐 아니라 전세계를 대상으로 사이버 간첩행위 등을 시도하고 있다고 유력 사이버 보안업체가 보고서를 통해 공개했다.

사이버 보안업체 '파이어아이(FireEye)'는 20일(현지시간) 'APT37, 간과됐던 북한의 행위자'라는 제목의 보고서를 통해, 북한의 최근 해킹 공격을 분석한 결과 공격 범위와 정교함이 크게 높아졌다고 결론을 내렸다.

APT는 사이버 공격의 일종으로, 특정 목표를 겨냥해 매우 은밀하고 장기간 침투해 기밀정보를 빼내는 수법이다. 확실한 동기와 공격 목표가 있기 때문에 대부분 배후에 특정 국가의 첩보조직 등이 연계돼 있는 것으로 추정된다.

보고서에 따르면 북한의 APT37은 아래한글(HWP) 프로그램의 취약점과 어도비 플래시의 제로-데이(zero-day) 취약점 등을 활용해 공격 목표에 접근하며, 이메일 첨부 문서, 토렌프 파일 공유사이트 등을 통해 악성코드를 심어놓는 것으로 파악됐다.

그동안 APT37은 주로 한국을 공격목표로 설정해왔다. 2014년부터 지난해까지 APT37은 정부와 군대, 군수산업 기지, 언론분야 등에 대한 공격에 집중했다. 침투는 '통일대회 학술대회 심사지' 등 주로 통일과 관련된 한국어 문서파일 등을 통해 이뤄졌다.

또 지난해에는 APT37이 북한에 통신사업을 제공하기 위해 북한 정권과 합작한 중동의 모 회사를 공격 목표로 삼았다. 아울러 베트남 국제 무역운송 회사의 총국장, 올림픽 조직위 직원 들도 공격대상에 포함된 것으로 파악됐다.

이와함께 북한 인권 관련 기관과 연구자, 언론인은 물론, 일본에 있는 유엔 인권 관련 기구도 공격을 당한 것으로 나타났다.

APT37은 해킹 공격을 위해 실제로 한국에 존재하는 북한관련 연구단체인 '한반도 국제포럼'이나 탈북자 지원 선교단체인
두리하나 등에서 보낸 것으로 위장한 이메일에 악성코드를 심어 보내는 수법을 썼다고 보고서는 지적했다.

보고서는 APT37을 북한 정권의 사이버 간첩 조직이라고 보는 근거로 ▲IP 주소와 접속지점이 북한과 관련이 있고, ▲APT37의 악성코드가 북한시간인 UTC+8:30에 맞춰져 있으며, ▲주 공격 대상이 한국, 탈북자, 통일관련 개인과 단체들에 집중돼 있는 점 등을 들었다.

흥미로운 것은 APT37이 주로 사용한 악성코드의 컴파일 시각은 오전 10시부터 저녁 7시에 집중돼 있었고, 점심시간인 12시에는 컴파일 작업이 현저히 줄어드는 경향을 보였다는 점이다. 보고서는 또 악성코드 컴파일 시각이 밤 10~11시에도 상당한 것을 보면 북한 해커들이 매우 장시간 일하고 있다는 점을 보여준다고 지적했다.

아울러 이날 또 다른 보안업체인 '크라우드스트라이크'는 북한 해킹조직을 '미로 천리마(Labyrinth Chollima)', '침묵의 천리마(Silent Chollima)', '별똥 천리마(Stardust Chollima)' 등 3개의 하위조직으로 분류했다.

미로 천리마는 주로 정보탈취를 맡고 있으며, 침묵의 천리마는 소니 픽처스 영화사 해킹 등과 같은 파괴 공작, 별똥 천리마는 은행 전산망 해킹에 특화된 것으로 분석됐다.

앞서 미국 정부는 지난해 6월 전세계 병원과 은행, 기업 네트워크를 마비시킨 '워너크라이(WannaCry)' 공격의 배후로 북한을 지목한 바 있다.

한편, 미국 정부도 북한에 대한 대규모 사이버 전을 준비 중인 것으로 파악되고 있다.

지난 15일(현지시간) 미국의 외교 전문매체 '포린 폴리시'는 전현직 미국 정보관리 6명의 말을 인용해 미국이 지난 6개월 동안 정보자산을 총동원해 북한에 사이버 공격을 가할 기반을 은밀히 구축해왔다고 보도했다.


     
 

 

 
 
Copyright ©1999-2017 사단법인 두리하나   대표 : 천기원
주 소 :  [ 06563 ]  서울특별시 서초구 방배중앙로 134 | 사업자등록번호 : 220-82-05847
대표전화 :  02-532-2513 | 1577-9121,   팩 스 :  02-532-2517,  이메일 :   durihana@korea.com