북한발 대규모 사이버 공격이 지속적으로 이뤄지고 있는 것으로 확인됐다.
파이어아이는 북한 정권의 지원을 받는 새로운 공격자 그룹 ‘APT38’에 대한 세부 내용을 4일 발표했다.
파이어아이는 인텔리전스 기반 보안업체로 보안 기술, 국가 수준의 위협 인텔리전스, 전세계적으로 유명한 맨디언트 컨설팅 서비스가 모두 통합된 단일 플랫폼을 제공하고 있으며 고객들의 보안 시스템이 보다 원활하고 확장 가능하도록 운영되고 있다.
이러한 접근 방식으로 파이어아이는 사이버 공격을 대비하고 방어하고 대응하는데 어려움을 겪고 있는 조직들의 사이버 보안의 복잡성과 부담을 없애준다.
파이어아이의 솔루션은 전세계 67개 국가에 걸쳐 포브스 선정 2000대 기업 중의 45%를 포함한 7100개 기업에서 사용 중이다.
파이어아이에 따르면 새로운 공격자 그룹 ‘APT38’은 전세계 금융 기관으로부터 수백만 달러를 훔치고 파괴적인 악성코드를 이용해 공격 대상의 네트워크를 작동 불가능하게 만드는 등 대규모의 사이버 범죄 행위를 실행했다.
2016 노베타(Novetta) 보고서는 2014년 소니픽처스엔터테인먼트(Sony Pictures Entertainment)가 받은 파괴적인 공격과 관련된 툴 및 인프라를 공개하려 시도한 보안 업체에 대한 내용을 자세히 설명했다.
이 보고서는 공격적인 북한 사이버 공격의 대명사가 된 ‘라자루스(Lazarus)’라는 명칭의 개발자 및 공격자 집단의 악성코드와 TTP(전술, 기법, 절차)를 상세히 기록하고 있다.
그 이후 확인된 공격에서 악성코드의 유사성에 기반해 다양한 수준의 신뢰도로 ‘라자루스’ 그룹의 활동으로 판단된 추가 활동들이 공개됐다.
시간이 지남에 따라 이러한 유사성은 악성코드뿐만 아니라 공격 대상, 의도 결과 및 TTP에서도 갈라지면서 이런 활동이 악성코드 개발 자원을 공유하고 북한 정부의 지원을 받아 연결된 다수의 공격그룹으로 구성돼 있다는 사실을 거의 확실하게 나타냈다.
파이어아이는 APT38의 신중한 공격 과정에서 보인 APT38의 재정적 동기, 고유 툴 세트 및 TTP가 다른 북한 사이버 활동과는 별개로 추적 가능할 정도로 구별된다고 전했다.
파이어아이는 APT38이 북한 정권의 후원을 받는다는 평가에 기반해 이 그룹을 ‘FIN(Financial Threat)’이 아닌 ‘APT(지능형 지속 위협, Advanced Persistent Threat)’로 분류했다.
이는 또한 APT38의 공격이 간첩 관련 활동과 매우 흡사하다는 것을 반영했다.
APT38은 적어도 2014년 이래 최소 11개 국가에서 16개가 넘는 기관을 공격했으며 때로는 동시에 공격을 진행해 이 그룹이 광범위한 자원을 가지고 대규모 다수의 공격을 가했다고 보고서는 밝혔다.
공격을 받은 조직의 침해 보고 비율이 낮다는 것을 고려할 때 APT38이 공격한 기관수는 훨씬 더 많을 수 있다고 파이어아이는 전했다.
APT38 활동의 속도는 평양의 증가하는 경제적 압박에 따라 국익 추구를 위해 기금을 훔치는 절박한 노력을 반영한 것으로 보인다. 북한 정권의 계속되는 무기 개발과 시험에 따라 북한에 더욱 무겁고 날카로워진 국제 제재가 가해지고 있다.
APT38의 특징으로는 장기적인 계획, 자금을 훔치려고 시도하기에 앞서 대상의 환경에 오랜 기간에 걸친 접근, 혼합된 운영 체제 환경에서의 능숙함, 맞춤형 개발 툴 사용, 공격 이후 손상된 시스템을 완전히 파괴하려는 태도로 조사를 저지하는 지속적인 노력 등이 있다.
이 그룹은 신중하고 계산적인 성향을 나타낸다. 또 목표를 달성하기 위해 네트워크 레이아웃, 필수 권한 및 시스템 기술을 이해하는 데 필요하다면 오랜 기간 동안 공격 대상의 환경에 대한 접근을 유지하려는 의지를 보여왔다.
파이어아이는 평균적으로 APT38이 약 155일 동안 공격 대상의 네트워크에 있음을 확인했으며 손상된 환경에서 가장 오래 머무른 기간은 거의 2년 정도로 보인다고 설명했다.
공개적으로 보고된 강도 활동만 보더라도 APT38이 금융 기관에서 훔치려고 시도한 금액은 11억달러가 넘는다.
공격 대상이 된 기관의 침해 사례를 조사한 결과, 파이어아이는 APT38의 전체 공격 수명주기에 대한 특이한 결과를 확인할 수 있었다. 대체로 APT38이 금융 기관을 공격대상으로 삼고 이에 따른 강도 행위는 아래와 같이 동일한 일반적인 패턴을 보이고 있다.
- 정보 수집: 국제송금망(SWIFT) 거래의 메커니즘을 이해하기 위해 SWIFT 시스템에 접근할 수 있는 것으로 보이는 기관의 직원이나 제3기관에 대해 조사 진행
- 초기 공격: 워터링 홀(watering hole) 공격 기법에 의존하며, 시스템에서 코드를 실행하기 위해 안전하지 않은 구식 버전의 아파치 스트러츠 2(Apache Struts 2)를 악용
- 내부 정찰: 크레덴셜(credential) 수집, 공격 대상의 네트워크 토폴로지(network topology) 매핑, 공격 대상의 환경에 이미 존재하는 툴을 사용해 시스템을 검색할 수 있도록 악성 코드 배포
- SWIFT 서버 중심: SWIFT 시스템에 정찰용 악성 코드 및 내부 네트워크 모니터링 툴을 설치해 SWIFT의 구성 및 사용을 더욱 자세히 이해함. 피해 기관의 세그먼트화 된 내부 시스템에 접근하고 탐지를 피하기 위해 SWIFT 시스템에 액티브 및 패시브형 백도어 설치
- 자금 이전: 사기성 SWIFT 거래를 추가하고 거래 내역을 변경하기 위해 악성 코드를 배포하고 실행함. 돈세탁을 위해 다른 은행에 개설한 계좌로 다수의 거래를 통해 자금을 이체했으며 대부분의 경우 다른 나라에 있는 은행을 사용함.
- 증거 파괴: 확실하게 로그를 삭제하고, 디스크 파괴(disk-wiping) 악성코드를 배포 및 실행해 활동 내역을 감춰 포렌식 분석을 방해
APT38은 공격 활동의 일환으로 공격적으로 증거 또는 대상의 네트워크를 파괴하는 것을 두려워하지 않는다는 점에서 독특하다. 이러한 태도는 아마 이 그룹이 그 흔적뿐 아니라 자금 세탁까지 감추려 한 시도의 결과로 보인다.
공개된 내용에 의하면 사이버 공격 외에도 자금 세탁 및 도난당한 자금이 이체될 은행과의 커뮤니케이션을 담당하는 인원 등 APT38의 강도 활동 마무리를 지원하는 개인 모집 및 협력에 대한 세부적인 내용이 담겨있다.
이는 APT38 활동이 더욱 복잡해지고 있으며 그 바탕이 되는 다양한 요소들이 조직화되고 있음을 더욱 확실하게 보여주고 있다.
파이어아이는 지난 수년간 대상을 공격하고 자금을 훔치는데 사용했던 대규모 자원과 방대한 네트워크를 기반으로 APT38의 공격은 앞으로도 계속될 것이라고 밝혔다.
특히 최근에 결국 좌절된 SWIFT 강도 시도 건수와 금융 메시징 시스템에 대한 보안 인식 증가로 인해 APT38은 특히 북한의 통화 접근성이 계속 악화되는 경우 새로운 자금 확보 방식을 택할 수도 있다고 지적했다.
한편 파이어아이는 클라우드 기반 이메일 보안 솔루션에 대해 ISO 27001 인증, SOC 2 타입 2 재인증, 페드램프(FedRAMP, Federal Risk and Authorization Management Program) 재인증을 획득했다고 밝혔다.
파이어아이 기술담당최고총책임자(CTO) 그래디 서머스(Grady Summers)는 “이메일을 클라우드에 전송할 때 데이터 보안은 매우 중요한 요소로 모든 고객들이 이를 우선적으로 고려한다. 파이어아이는 공격자에 대한 직접적인 경험과 지식을 기반으로 철저한 보안 검토를 시행하고 있다. 이번 ISO 인증과 페드램프 재인증으로 파이어아이 클라우드 솔루션의 안전성을 또 한번 입증할 수 있게 되었다. 제3기관의 객관적인 검증 통과와 최고의 데이터 보안 기준 충족을 증명해 고객 신뢰를 한 차원 높은 수준으로 끌어올렸다”고 밝혔다.
파이어아이는 북한 정권의 지원을 받는 새로운 공격자 그룹 ‘APT38’에 대한 세부 내용을 4일 발표했다.
 |
파이어아이는 인텔리전스 기반 보안업체로 보안 기술, 국가 수준의 위협 인텔리전스, 전세계적으로 유명한 맨디언트 컨설팅 서비스가 모두 통합된 단일 플랫폼을 제공하고 있으며 고객들의 보안 시스템이 보다 원활하고 확장 가능하도록 운영되고 있다.
이러한 접근 방식으로 파이어아이는 사이버 공격을 대비하고 방어하고 대응하는데 어려움을 겪고 있는 조직들의 사이버 보안의 복잡성과 부담을 없애준다.
파이어아이의 솔루션은 전세계 67개 국가에 걸쳐 포브스 선정 2000대 기업 중의 45%를 포함한 7100개 기업에서 사용 중이다.
 |
파이어아이에 따르면 새로운 공격자 그룹 ‘APT38’은 전세계 금융 기관으로부터 수백만 달러를 훔치고 파괴적인 악성코드를 이용해 공격 대상의 네트워크를 작동 불가능하게 만드는 등 대규모의 사이버 범죄 행위를 실행했다.
2016 노베타(Novetta) 보고서는 2014년 소니픽처스엔터테인먼트(Sony Pictures Entertainment)가 받은 파괴적인 공격과 관련된 툴 및 인프라를 공개하려 시도한 보안 업체에 대한 내용을 자세히 설명했다.
이 보고서는 공격적인 북한 사이버 공격의 대명사가 된 ‘라자루스(Lazarus)’라는 명칭의 개발자 및 공격자 집단의 악성코드와 TTP(전술, 기법, 절차)를 상세히 기록하고 있다.
그 이후 확인된 공격에서 악성코드의 유사성에 기반해 다양한 수준의 신뢰도로 ‘라자루스’ 그룹의 활동으로 판단된 추가 활동들이 공개됐다.
시간이 지남에 따라 이러한 유사성은 악성코드뿐만 아니라 공격 대상, 의도 결과 및 TTP에서도 갈라지면서 이런 활동이 악성코드 개발 자원을 공유하고 북한 정부의 지원을 받아 연결된 다수의 공격그룹으로 구성돼 있다는 사실을 거의 확실하게 나타냈다.
파이어아이는 APT38의 신중한 공격 과정에서 보인 APT38의 재정적 동기, 고유 툴 세트 및 TTP가 다른 북한 사이버 활동과는 별개로 추적 가능할 정도로 구별된다고 전했다.
파이어아이는 APT38이 북한 정권의 후원을 받는다는 평가에 기반해 이 그룹을 ‘FIN(Financial Threat)’이 아닌 ‘APT(지능형 지속 위협, Advanced Persistent Threat)’로 분류했다.
이는 또한 APT38의 공격이 간첩 관련 활동과 매우 흡사하다는 것을 반영했다.
APT38은 적어도 2014년 이래 최소 11개 국가에서 16개가 넘는 기관을 공격했으며 때로는 동시에 공격을 진행해 이 그룹이 광범위한 자원을 가지고 대규모 다수의 공격을 가했다고 보고서는 밝혔다.
공격을 받은 조직의 침해 보고 비율이 낮다는 것을 고려할 때 APT38이 공격한 기관수는 훨씬 더 많을 수 있다고 파이어아이는 전했다.
APT38 활동의 속도는 평양의 증가하는 경제적 압박에 따라 국익 추구를 위해 기금을 훔치는 절박한 노력을 반영한 것으로 보인다. 북한 정권의 계속되는 무기 개발과 시험에 따라 북한에 더욱 무겁고 날카로워진 국제 제재가 가해지고 있다.
APT38의 특징으로는 장기적인 계획, 자금을 훔치려고 시도하기에 앞서 대상의 환경에 오랜 기간에 걸친 접근, 혼합된 운영 체제 환경에서의 능숙함, 맞춤형 개발 툴 사용, 공격 이후 손상된 시스템을 완전히 파괴하려는 태도로 조사를 저지하는 지속적인 노력 등이 있다.
이 그룹은 신중하고 계산적인 성향을 나타낸다. 또 목표를 달성하기 위해 네트워크 레이아웃, 필수 권한 및 시스템 기술을 이해하는 데 필요하다면 오랜 기간 동안 공격 대상의 환경에 대한 접근을 유지하려는 의지를 보여왔다.
파이어아이는 평균적으로 APT38이 약 155일 동안 공격 대상의 네트워크에 있음을 확인했으며 손상된 환경에서 가장 오래 머무른 기간은 거의 2년 정도로 보인다고 설명했다.
공개적으로 보고된 강도 활동만 보더라도 APT38이 금융 기관에서 훔치려고 시도한 금액은 11억달러가 넘는다.
공격 대상이 된 기관의 침해 사례를 조사한 결과, 파이어아이는 APT38의 전체 공격 수명주기에 대한 특이한 결과를 확인할 수 있었다. 대체로 APT38이 금융 기관을 공격대상으로 삼고 이에 따른 강도 행위는 아래와 같이 동일한 일반적인 패턴을 보이고 있다.
- 정보 수집: 국제송금망(SWIFT) 거래의 메커니즘을 이해하기 위해 SWIFT 시스템에 접근할 수 있는 것으로 보이는 기관의 직원이나 제3기관에 대해 조사 진행
- 초기 공격: 워터링 홀(watering hole) 공격 기법에 의존하며, 시스템에서 코드를 실행하기 위해 안전하지 않은 구식 버전의 아파치 스트러츠 2(Apache Struts 2)를 악용
- 내부 정찰: 크레덴셜(credential) 수집, 공격 대상의 네트워크 토폴로지(network topology) 매핑, 공격 대상의 환경에 이미 존재하는 툴을 사용해 시스템을 검색할 수 있도록 악성 코드 배포
- SWIFT 서버 중심: SWIFT 시스템에 정찰용 악성 코드 및 내부 네트워크 모니터링 툴을 설치해 SWIFT의 구성 및 사용을 더욱 자세히 이해함. 피해 기관의 세그먼트화 된 내부 시스템에 접근하고 탐지를 피하기 위해 SWIFT 시스템에 액티브 및 패시브형 백도어 설치
- 자금 이전: 사기성 SWIFT 거래를 추가하고 거래 내역을 변경하기 위해 악성 코드를 배포하고 실행함. 돈세탁을 위해 다른 은행에 개설한 계좌로 다수의 거래를 통해 자금을 이체했으며 대부분의 경우 다른 나라에 있는 은행을 사용함.
- 증거 파괴: 확실하게 로그를 삭제하고, 디스크 파괴(disk-wiping) 악성코드를 배포 및 실행해 활동 내역을 감춰 포렌식 분석을 방해
APT38은 공격 활동의 일환으로 공격적으로 증거 또는 대상의 네트워크를 파괴하는 것을 두려워하지 않는다는 점에서 독특하다. 이러한 태도는 아마 이 그룹이 그 흔적뿐 아니라 자금 세탁까지 감추려 한 시도의 결과로 보인다.
공개된 내용에 의하면 사이버 공격 외에도 자금 세탁 및 도난당한 자금이 이체될 은행과의 커뮤니케이션을 담당하는 인원 등 APT38의 강도 활동 마무리를 지원하는 개인 모집 및 협력에 대한 세부적인 내용이 담겨있다.
이는 APT38 활동이 더욱 복잡해지고 있으며 그 바탕이 되는 다양한 요소들이 조직화되고 있음을 더욱 확실하게 보여주고 있다.
파이어아이는 지난 수년간 대상을 공격하고 자금을 훔치는데 사용했던 대규모 자원과 방대한 네트워크를 기반으로 APT38의 공격은 앞으로도 계속될 것이라고 밝혔다.
특히 최근에 결국 좌절된 SWIFT 강도 시도 건수와 금융 메시징 시스템에 대한 보안 인식 증가로 인해 APT38은 특히 북한의 통화 접근성이 계속 악화되는 경우 새로운 자금 확보 방식을 택할 수도 있다고 지적했다.
한편 파이어아이는 클라우드 기반 이메일 보안 솔루션에 대해 ISO 27001 인증, SOC 2 타입 2 재인증, 페드램프(FedRAMP, Federal Risk and Authorization Management Program) 재인증을 획득했다고 밝혔다.
파이어아이 기술담당최고총책임자(CTO) 그래디 서머스(Grady Summers)는 “이메일을 클라우드에 전송할 때 데이터 보안은 매우 중요한 요소로 모든 고객들이 이를 우선적으로 고려한다. 파이어아이는 공격자에 대한 직접적인 경험과 지식을 기반으로 철저한 보안 검토를 시행하고 있다. 이번 ISO 인증과 페드램프 재인증으로 파이어아이 클라우드 솔루션의 안전성을 또 한번 입증할 수 있게 되었다. 제3기관의 객관적인 검증 통과와 최고의 데이터 보안 기준 충족을 증명해 고객 신뢰를 한 차원 높은 수준으로 끌어올렸다”고 밝혔다.
저작권자 © 파이낸셜신문 무단전재 및 재배포 금지
