북한 추정 해킹 조직, 위장전술도 쓴다

ESRC, 라자루스로 위장한 금성121 공격 발견

컴퓨팅입력 :2019/08/03 14:45    수정: 2019/08/03 15:34

북한 배후로 추정되는 해킹 조직이 마찬가지로 북한이 배후에 있는 것으로 알려져 있는 타 해킹 조직인 것처럼 위장해 공격을 실시한 사례가 포착됐다.

이스트시큐리티 시큐리티대응센터(ESRC)는 3일 조직 '금성 121'이 조직 '라자루스'의 전술을 차용한 사례가 발견됐으며, 타 조직의 전술을 차용한 사례는 처음 발견됐다고 밝혔다.

금성 121과 라자루스는 지속적으로 국내 대상 사이버 공격을 펼친 조직으로 알려져 있다.

금성 121은 통일부, 대북 관련 단체 등을 대상으로 스피어피싱을 시도해온 조직이다. 지난달 자유한국당 의원실을 대상으로 APT 공격을 수행하기도 했다.

라자루스는 지난 2009년 7월7일 디도스 공격, 2014년 미국 소니픽쳐스 공격 등 유명 보안 사고에 연루된 조직이다. 지난 2017년 국내 비트코인 거래소 대상 해킹 공격과도 연관이 있다.

이번에 발견된 공격 사례에서 금성 121은 HWP 문서 파일을 첨부한 이메일을 공격에 활용했다. '어제 끝냈습니다.'라는 제목에 '[완결]20190717'이라는 이름의 문서를 첨부했다. 첨부파일엔 악성코드가 삽입돼 있다.

공격에 사용된 실제 스피어 피싱 이메일 화면(출처=ESRC)

ESRC는 악성 문서파일 분석을 실시한 결과 라자루스 공격에서 발견되던 XOR 암호화키를 확인했다.

그러나 분석을 진행하면서 라자루스의 코드가 의도적으로 포함된 것으로 판단했다.

지난달 2일 라자루스 공격에 첨부된 악성파일과 이번에 발견된 악성파일을 비교한 결과 포스트스크립트, 메타데이터 패턴, 마지막 수정자명 등에서 차이점을 보였다.

관련기사

취약점을 이용해 특정 코드를 실행하게 할 때 사용되는 코드인 쉘코드는 기존 라자루스 공격에서 사용된 코드와 상당 부분 유사하지만, 정상적으로 사용되지 않았다. ESRC는 쉘코드 분석 과정에서 금성121의 쉘코드를 발견, 코드가 조작됐다고 설명했다. 결과적으로, 숨겨져 있는 실제 명령제어(C2) 주소로 접근하게 된다.

ESRC는 이번 공격을 오퍼레이션 '이미테이션 게임'으로 명명했다. 이에 대해 "앞으로 보다 교묘하고 노골적인 사이버 위협 등장을 알리는 신호탄이 될지 모른다"며 "따라서 위협 인텔리전스 기반의 대응력은 보다 신속하고 정확한 분석이 요구되며, APT 공격 대응이 국가 사이버안보와 직결된다는 점을 명심해야 한다"고 당부했다.