맨땅에 코딩
프로젝트 고도화 - ‘북한의 사이버 공격 최신 동향 분석 및 시사점’ 논문 투고 본문
최근 남북 대립이 고조되며, 북한의 사이버 공격을 인지하고 이에 대비해야 할 필요성이 커지고 있다.
본 논문에서는 북한 사이버 공격의 특징을 김수키, 라자루스, 안다리엘 세 그룹으로 나누어 주요 공격 사례를 통해 각 그룹의 특징을 추출하고, 이를 통해 2024년 방산업체 총공격 사건을 중심으로 북한 사이버 공격의 최신 동향을 파악하며, 최종적으로 개인의 보안 의식 강화 및 조직 차원의 실천에 대한 필요성을 제기하고자 한다.
1. 서론
북한의 사이버 공격 변화 양상은 시간과 목적에 따라 3기(대남 도발, 외화벌이, 방산업체 기술 탈취)로 구분되어 연구된 바 있다. 이중 최근의 양상을 나타내는 제3기(방산업체 기술 탈취)에 대해, 2024년 4월 23일 경찰청은 지난 2년간 다수의 북한 해킹 조직들이 국내 방산업체 및 방산 협력업체를 해킹하여 기술을 탈취한 사실을 밝혔다.
남북 대립이 고조되는 현 상황에서, 자국의 기술을 보호하고 국가, 나아가서 국민의 안전을 도모하기 위해서는 해당 사건을 재고하는 시각이 필요하다.
따라서 본 논문에서는 위 사건과 관련하여, 북한의 사이버 공격 조직인 김수키(Kimsuky), 안다리엘(Andariel), 라자루스(Lazarus Group) 각각의 공격 특징을 문헌연구방법을 통해 분석하고(II), 2024년 방산업체사이버 총공격 사건을 중심으로 북한의 사이버공격 최신 동향을 파악한다(III).
2. 주요 북한 사이버 공격 그룹의 특징
2.1 김수키 – 언론사 사칭 스피어피싱 공격
2024년 김수키는 언론사를 사칭하며, 북한 인권 활동가들을 대상으로 지능적인 스피어피싱 공격을 감행하였다. 이는 단순한 스피어피싱 공격을 넘어, 표적 대상과 지속적으로 상호작용하며 신뢰를 형성하고 정보를 획득하는 고도화 된 공격 기법으로 평가된다. 기존 연구는 김수키 그룹의 이러한 공격 기법을 ‘반응형 투-트랙 스피어피싱’으로 정의하였다.
김수키는 한반도 평화를 주제로 인터뷰를 요청하는 내용의 이메일을 보내며 북한 인권 활동가들과 지속적이고 정상적인 대화를 통해 신뢰를 쌓았다. 이 과정에서 HWP 한글 문서 및 MSC 콘솔 타입의 악성코드를 사용해 내부 민감 정보를 탈취하였다.
2.2 라자루스 - PyPl 공급망 공격
라자루스는 2007년 창설되어, 주로 가상화폐 및 금전적 이득을 위해 공격을 진행하는 북한 정찰총국 소속의 사이버 공격 조직이다. 대표적으로 2023년 6월, 사용자의 암호화폐 토큰을 저장하는 ‘Atomic Wallet’에서 자금을 탈취하여 최소 1억 2900만 달러 상당의 막대한 손실을 발생시켰다.
그러나 최근에 오픈소스가 소프트웨어의 상당 부분을 차지하게 되면서, 라자루스는 PyPl에 공급망 공격을 실시하였다. PyPI(Python Package Index)는 오픈소스 소프트웨어 패키지 저장소로, 이곳에 라자루스가 'pycryptoenv', 'pycryptoconf'와 같은 유사한 이름을 가진 악성 패키지를 업로드하였다.
유사한 이름에 속아 패키지를 다운로드 한 경우, 컴배커라는 트로이목마가 윈도 장비에 설치되며, 이는 랜섬웨어를 심거나 개발자 파이프라인에 침투하여 정보를 탈취하는 등의 악성 행위가 가능하다.
2.3 안다리엘 - Operation An Octopus
사회공학적 기법을 주로 이용하는 김수키와 달리, 안다리엘은 컴퓨터 기반의 사이버 공격을주로 감행한다. 따라서 김수키는 특정 목표를집중적으로 공격하는 스피어피싱을 주로 사용하는데 비해, 안다리엘은 기술적 허점이 드러난곳을 무작위로 공격하는 특징을 보인다. 이렇게 안다리엘이 특정 목표 없이 침투 가능한 모든기업을 공격하는 양상은 'Operation An Octopus'라 명명된 바 있으며, 일반적인APT(Advanced Persistent Threat) 공격 그룹과 달리 공격 목적에 일관성을 보이지 않는다.
이러한 공격에서 안다리엘은 주로 RAT을활용하는 것으로 보인다. RAT(Remote Access Trojan)은 공격자가 원격에서 피해 시스템을제어할 수 있는 악성코드로, 감염된 시스템에서공격자가 다양한 작업을 수행하고 정보에 접근할 수 있게 한다. 2022년 Log4Shell 취약점을이용해 TigerRAT을 배포하여 국내 방산 및전자장비 업체를 공격한 사건, 2024년 Dora RAT을 활용해 웹서버를 공격하고 악성코드를 배포한 사건과 같이 Operation An Octopus에서도 AmmyRAT 등의 원격제어 도구를 사용하였다.
추가로 안다리엘은 국내 서버를 임대하여 무작위 대입 공격을 실행하고, 포트가 외부로 개방된 기업을 확인하여 정보를 탈취하는 공급망공격 또한 실행하였다.
3. 최근 방산업체 해킹 사건 분석
앞서 다룬 북한의 사이버 공격 조직은 모두북한 정부의 영향을 받고 있지만, 그 시행은 독자적으로 진행되어 왔다. 최근 발생한 김수키, 라자루스, 안다리엘의 총공격 사건은 기존의 북한 APT 집단의 공격 기조를 뒤바꾸는 사례로써, 방위산업체라는 공동의 목표를 가지고 집중적으로 대상을 공격하는 점에서 분석할 가치가 있다.
방위산업체(이하 ’방산업체’)는 「방위산업발전 및 지원에 관한 법률」 제2조 제2호에따른 ‘방위산업’과 관련한 물자를 생산하는 업체를 말한다. 방산업체가 보유한 기술 등의 정보노출은 국가 안보로 직결될 수 있는 문제이므로, 방산업체 등에서의 보안은 매우 중요하다. 세 그룹은 각각의 공격 방식을 가지고 방산업체 및 방산 협력업체의 중요자료를 탈취하여 국내 방산업체 등을 위협하고 있다. 김수키는 전자우편 서버의 취약점을 이용하여 대용량 파일 내부에 있는 기술자료를 탈취하였다. 라자루스는 외부망 서버에 악성코드를 심고 내부망에 침투하여 방산업체의 자료를 빼돌리는 식의 공급망 공격을 시행하였다. 안다리엘은 방산 협력업체의 서버를 원격으로 관리하는 타 업체 직원의 사내 계정을 탈취하여, 방산 협력업체의 서버에 악성 코드를 심어 방산기술 자료를 유출하였다.
특히, 김수키는 주로 사람의 신뢰와 관계를 이용한 사회공학적 기법을 사용한 스피어피싱 공격을 사용했으나, 이번 사건에서는 대상과의 사회적 접촉 없이 취약점을 이용한 컴퓨터 기반 공격만을 수행하였다. 또한, 계정의 비밀번호를 돌려쓰고 별도의 보안장치 없이 중요자료를 전송하는 등 방산 협력업체의 부족한 보안 의식이 피해를 더 키운 것으로 보인다.
4. 시사점 및 제언
클라우드 산업이 확대되며 국방과 관련된 중요 자료를 보유한 방산업체 및 방산 협력업체도 서버 등에서의 공급망 보안에 대한 중요성이 커지고 있다. 라자루스·안다리엘의 기존 공격 사례에서도 볼 수 있듯, 기업 차원에서 충분한 자원이 공급되지 않으면 보안은 더욱 취약해질 수밖에 없다. 조직 차원에서 오픈소스를 자동으로 검사하고, 관리해 주는 기술을 도입하는것이 필요하다. SBOM(Software Bill Of Materials) 형태로 소프트웨어 구성요소를 관리하고, VUDDY나 MOVERY와 같은 분석 기술을 활용하는 방식으로 공급망 보안 위협을효과적으로 방지할 수 있다.
금년부터 방위사업청이 국방 기술 연구 개발(R&D)에 2.4조 원을 투자하는 First Mover 도약을 추진하는 가운데, 기술 유출을 방지하고 피해를 최소화하기 위한 연구 개발 사업 내의 보안 관리 체계 구축이 필요할 것이다. 특히, 본 논문에서 다룬 사례처럼 방산 협력업체를 통한 기술 탈취가 주요 피해 사례로 나타나고 있으므로, 이러한 보안 체계는 방산업체에 국한되지 않고 방산 협력업체 및 국내 IT 기업에도 적용되어야 할 것이다.
사이버 공격은 끊임없이 진화하고 있으며, 사용자들의 보안 의식은 어느 때보다 중요해졌다. 지속적인 보안 교육을 통한 보안 인식 개선을 통해 나날이 발전해 가는 공격에 대한 대응 능력을 강화하는 것이 필요할 것이다. DKIM 인증을 통해 이메일의 진위성을 검증하고, 비밀번호 변경과 같은 사소하지만 간과 되기 쉬운 보안 조치를 철저히 준수하는 것 만으로도 북한 해킹 조직의 침투 경로를 효과적으로 차단할 수 있다.
나아가, 이런 작은 실천이 국방을 튼튼하게 만드는 데 도움이 될 것이라는 믿음을 줄 수 있도록 우리 정부도 최선을 다해야 할 것이다.
5. 참고 문헌
[1] 박찬영, 김현식, 북한의 사이버 공격 변화 양상에 대한 연구, The Journal of the Convergence on Culture Technology(JCCT) Vol.10 No.4, July, 2024.
[2] 외교부, 북한 정권을 위해 정보·기술 탈취해온 해킹 조직 ‘김수키’ 겨눈다, 공동 보도 자료, June, 2023.
[3] 이소미, 북한 김수키, 연이은 언론사 사칭 공격... 이번에는 ‘외신 인터뷰 의뢰’, 보안 뉴스, June, 2024.
[4] 길민권, “외신 인터뷰 의뢰 사칭한 북한 김수키 해킹조직 공격 포착돼”, 데일리시큐, June, 2024.
[5] 문가용, 일본 침해대응센터, 북한의 라자루스가 공급망 공격을 한다고 경고, 보안뉴스, March, 2024.
[6] By Bill Toulas, Japan warns of malicious PyPi packages created by North Korean hackers, BLEEPINGCOMPUTER, February, 2024.
[7] 오원보, 원격 접속 도구(RAT)의 두 얼굴, 이글루코퍼레이션, March, 2022.
[8] 박은주, 북한 해킹그룹 안다리엘, 국내 기업 대상으로 APT 공격, 보안뉴스, June, 2024.
[9] 이지현, 오픈소스 소프트웨어 공급망 보안 정책의 중심 ‘SBOM’, OSS, June, 2024.
[10] 방위사업청, < 2024 방위사업청 주요 정책 추진 계획 > K-방산을 안보의 기반과 신성장 동력으로 육성한다!, 대한민국 정책 브리핑, March, 2024
공동 제2저자
- 북한 사이버 공격 그룹: 라자루스 주요 공격 사례 조사
- II. 주요 북한 사이버 공격 그룹의 특징 / 2.2 라자루스 - PyPl 공급망 공격 작성
- 발표 포스터 제작