- 미국은 2015년 법 제정해 해킹 피해사실과 수법, 예방조치 공개하고 있어

- 미 법무부가 기소한 北해커 사건 역시 배후와 수법 신속하게 공개해 추가 피해 막아

- 국정원, 북한 포함한 해킹 매일 158만건 발생한다 보고하고도 해킹수법은 공개 거부

① 美 포함 전 세계 대상 해킹 공격의 배후는 “북한 정부”

“이 합동기술경보(joint Technical Alert)는 미국 국토안보부(Department of Homeland Security, DHS)와 연방수사국(Federal Bureau of Investigation, FBI)의 공동 분석 노력의 결과이다.

이 경보는 북한 정부의 사이버 행위자가 미국과 전 세계의 언론, 항공우주, 금융 및 핵심 인프라 산업을 공략하기 위해 사용하는 도구와 인프라에 대한 기술적 세부사항을 제공한다.”

② 北이 범죄에 사용한 해킹수법 공개

“국토안보부와 연방수사국은 네트워크 방어 활동을 활성화하고 디도스 명령 및 제어 네트워크에 노출되는 상황을 줄이기 위해 북한 사이버 작전에 이용되는 IP 주소를 공개한다.”

③ 北해킹범죄조직의 그간 활동 동향과 향후 행보 평가

“2009년 이후 히든 코브라 행위자들은 기술 역량을 이용해 다양한 공격 대상에게 피해를 입혔다. 상업 기관의 보고서에서는 이 활동을 라자루스 그룹(Lazarus Group)과 평화의 수호자(Guardians of Peace)라는 명칭으로 언급했다.

국토안보부와 연방수사국은 히든 코브라 행위자들이 북한 정부의 군사적․전략적 목표를 진전시키기 위해 사이버 작전을 계속 수행할 것이라고 평가한다.”

□ 하의원이 18일 ‘해킹피해 예방을 위한 북한 등 해킹수법 정보공개법’을 발의했다. 北해킹정보공개법은 국가정보원법을 개정한 것으로 북한 등의 해킹범죄 수법과 예방대책 등의 정보를 국회와 국민에 의무적으로 공개토록 하는 내용을 담고 있다.

□ 이 법은 2015년 제정된 미국 「사이버안보 정보공유법」의 실제 적용 사례에서 모티브를 얻었다. 미국은 법 제정 이후 정부부처 간 합동경보를 발령하거나 보고서를 작성하는 형식으로 해킹범죄 수법과 예방조치를 적시에 국민들에게 공개하고 있다.

□ 최근 미 법무부가 전 세계 은행을 대상으로 1조4천여억원을 탈취한 혐의로 북한 해커 3명을 기소한 해킹범죄 역시 지난 2017년 6월 범죄 배후와 수법이 공개된 바 있다. 당시 미 국토안보부는 FBI와 공동으로 경보를 발령하고 북한의 해킹 조직 히든코브라를 배후로 지목했다. 북한이 슬로베니아 가상화폐거래소와 세계 각국 은행을 대상으로 해킹범죄를 감행하고 한 달 가량 된 시점이었다. 또 같은 수법으로 인한 피해가 발생하지 않도록 범죄에 사용된 IP주소와 악성코드 분석 보고서를 공개하기도 했다. [참조 1]

□ 미국은 이 경보 보고서에서 해킹 조직이 북한 정부의 군사, 전략적 목표 진전을 위해 작전을 계속 수행할 것이라고 평가하고 지속적인 추적에 나섰다. 그 결과 2017년 12월에는 호주, 캐나다, 뉴질랜드, 영국과 함께 해당 해킹범죄의 배후 국가로 북한을 공식 지목, 규탄했다.

□ 지난 16일 국가정보원도 국회 정보위원회에서 우리나라 공공부문에 대한 북한 등의 해킹공격이 하루 158만건에 달하며 이는 전년 대비 32% 증가한 수치라고 보고했다. 이미 셀트리온 등 국내 제약회사와 업비트 등 암호화폐 거래소에 대한 해킹공격이 북한의 소행으로 확인되기도 했다. 하지만 원은 외부세력의 구체적인 해킹수법 공개를 거부하고 특히 화이자 공격 등 북한의 명백한 해킹 사실에 대해서는 사실관계조차 확인해주지 않고 있다.

□ 하의원은 “해킹피해 예방을 위해서는 해킹수법과 방지대책 등을 적시에 공개하는 것이 최선”인데도 “우리나라 사이버 안보를 총괄하는 국정원은 그 책임을 회피하고 북한 해킹 관련 정보를 숨기는 데만 급급하다”고 지적했다. 이어 “북한 등 외부세력의 해킹정보가 낱낱이 공개된다면 범죄피해를 예방하고 국민의 안전과 재산을 지키는데 큰 도움이 될 것”이라며 법안 발의 배경을 설명했다.

https://blogattach.naver.net/148108bbaff3f02c00e780b58f64176cca9d6589fd/20210219_88_blogfile/radiohaha_1613692084606_6hIv4a_hwp/%5B%BA%B8%B5%B5%C0%DA%B7%E1_210219%5D%20%C7%CF%C5%C2%B0%E6,%20%A1%B0%C7%D8%C5%B7%C7%C7%C7%D8%20%BF%B9%B9%E6%C0%A7%C7%D1%20%B1%B9%C1%A4%BF%F8%20%C1%A4%BA%B8%B0%F8%C0%AF%20%C0%C7%B9%AB%C8%AD%C7%D1%B4%D9%A1%A6%20%DD%C1%C7%D8%C5%B7%C1%A4%BA%B8%B0%F8%B0%B3%B9%FD%20%B9%DF%C0%C7%A1%B1.hwp?type=attachment

“해킹피해 예방위한 국정원 정보공유 의무화한다… 北해킹정보공개법 발의 하태경의원실 보도자료 

[참조 1] 美기소 북한해커의 범죄의 배후‧수법 공개한 2017.6.13. 합동경보 보고서

[참조 2] ‘해킹피해 예방을 위한 북한 등 해킹수법 정보공개법’(국가정보원법 개정안) 원문과 공동발의 의원 명단

[참조 1] 美기소 북한해커의 범죄의 배후‧수법 공개한 2017.6.13. 합동경보 보고서

- 美 국토안보부 산하 사이버안보기간시설안보국(CISA) 홈페이지

북한의 공작원들은 마치 외국 보안 전문가처럼 행세하면서 위장전술을 수행하고 있습니다.

구글 위협분석그룹(TAG)은 “지난 3월 17일, 이 공격 배후에 있는 동일한 위협 행위자가 SecuriElite이라는 가짜 회사 관련 소셜 미디어 프로필이 있는 웹 사이트를 구축했다. 새 웹 사이트에서는 해당 회사가 터키에 위치한 오펜시브 보안 회사로, 침투 테스트, 소프트웨어 보안 평가 및 익스플로잇을 제공한다고 설명하며, 웹 페이지 하단에 PGP 공개키에 대한 링크가 있다. 1월, 이들 공격자는 블로그에 호스팅된 PGP키를 브라우저 익스플로잇 트리거에 사용되는 사이트를 방문하도록 유인하는데 사용했다."

사이트는 아직 악성코드를 전달하기 위한 익스플로잇을 호스팅하지 않았으나, TAG 연구원들은 예방책으로 해당 웹사이트를 구글 세이프브라우징에 추가했다.

- 관련 레퍼런스
https://blog.google/threat-analysis-group/update-campaign-targeting-security-researchers/

https://www.dailysecu.com/news/articleView.html?idxno=122606

Actor controlled sites and accounts

Fake Security Company Website:

www.securielite[.]com

Twitter Profiles:

https://twitter.com/alexjoe9983

https://twitter.com/BenH3mmings

https://twitter.com/chape2002

https://twitter.com/julia0235

https://twitter.com/lookworld0821

https://twitter.com/osm4nd

https://twitter.com/seb_lazar

https://twitter.com/securielite

LinkedIn Profiles:

SecuriElite - https://www.linkedin.com/company/securielite/

Carter Edwards, HR Director @ Trend Macro - https://www.linkedin.com/in/carter-edwards-a99138204/

Colton Perry, Security Researcher - https://www.linkedin.com/in/colton-perry-6a8059204/

Evely Burton, Technical Recruiter @ Malwarebytes - https://www.linkedin.com/in/evely-burton-204b29207/

Osman Demir, CEO @ SecuriElite - https://www.linkedin.com/in/osman-demir-307520209/

Piper Webster, Security Researcher - https://www.linkedin.com/in/piper-webster-192676203/

Sebastian Lazarescue, Security Researcher @ SecuriElite - https://www.linkedin.com/in/sebastian-lazarescue-456840209/

Email:

contact@securielite.com

osman@securielite.com

submit@securielite.com

Attacker Owned Domains:

bestwing[.]org

codebiogblog[.]com

coldpacific[.]com

cutesaucepuppy[.]com

devguardmap[.]org

hireproplus[.]com

hotelboard[.]org

mediterraneanroom[.]org

redeastbay[.]com

regclassboard[.]com

securielite[.]com

spotchannel02[.]com

wileprefgurad[.]net

-----BEGIN PGP PUBLIC KEY BLOCK----- xsJuBGBQHSsRCADiEMSXO47vXwCG9lnGrRK4dA6/S0QT9KTHSjyqB9pTtuomXsFVrO39mCdp1i37 qspaNtj+GIMD7iIMH9YQd8MYYMpXpGDvv2XLdX3zHg+Fatz4GEggLwPy3mk7IT9/aOipS5uuVTve qAYgbMCo6krBUzwUi1h4Sc4w6Prgq87H9j/lc2WPPNjkHlO8pIRDqvlt5WaiTsff0bDwG+J1dRqr eGk0+K1jyLRWD+RII0OhtaImFj/CNRkt/M+Uh8C/hd8e9POHZCQpriloY+g9N95F5cMpn7NGTyYV pbjbHHjEjpoStRIaFszNOzu/erPF11bHsFhYfpq+xVy15xfaiGPDAQC5DwmKa7FmMjXNmKZ1lYV1 ZZtnOBKLUek5ikaleZkamwgAulL2/ytE0YgsUNo2BX5Xz85qnLphhPrtkGwL/5lTTfpCMyLGPpT5 GJCA1Ilyp/LmLkPQYf2T4asIcnYGU9qHZMWoWXPO+UNPj7e7SEivZ5lNuXSHS1zbEnCt8iMNnGMr KnIdK++HacOWWkr87JV0s1i/7FX5zZIcz43uGYvXsRQcbEQienCGOV+0re4Y1jh2imnZ8ucYQtgH Ja1Txv3pLoLiQm4nVciAuu0x1wX0NwtXx6Axu5noCz3Slbd+T436IDIiLftfEZ/KkygNcnIh8lNc Y2S1F8UpImvLhbeCCHPaqOGdFQpgsublMRo7SqkPet6vw+c920HsjzeSdDWNKQgAuE5HMHlhtqZp JaLv4nKL+G6NGesB4ot9EKJ0+bIf93c/NZNMt9PPy+GukDYOABCSW93kdlDLhGxlyB3k/D2ZQ+6V N/DHjGKsL7n3JAjv5h1+dOFtSaP89og1Nj9qDuS7l1k/qZgi+mRHdXjVCNzN/IOSkSPsklq0HXLy QLdzLsKYkKDzojsHdrOGM5VbOMqOoKhRqT0+H5lRgteBc4iaH2X0wtuuxvCM5aiJ55BE23Q+nFDH mLff0UO5A3WkVDJdwSuvk38hTCG6cpoU1Pt3pJgpfMvVXEgeS9b7QjaJ4Gk37kevPdq8lJkUsi4X NZtySXlSdwTlfei93I6on/Uep80lU0VDVVJJRUxJVEUgPGNvbnRhY3RAc2VjdXJpZWxpdGUuY29t PsKQBBMRCAA4FiEEwxBb+cY+8QHlPYzPabPttiObqkcFAmBQHSsCGwMFCwkIBwIGFQoJCAsCBBYC AwECHgECF4AACgkQabPttiObqkdP+gEAsjkVFQBrP2y+S5RwRqYIr2/VMGIkyv9Kh70AzX4A+o0B AKnW2cqdDr5Y5LA8hyQL8jH+iySAV85Feb2zMJnS6bgdzsNNBGBQHSsQEADz/1/bxHICtLRNgwaP 9SahzSXot297+5jxACSrUQq+yfVOfaE9+fRceiBhpYlKGKlsvqDwG/wQJSo315fvtgftrdjUrYu/ tMAjA2L6pWgw6sVr5UgEF0dPcidyraVV2gyisWvKEGek9yqjnhr7P6Z4SP9SuV4hfLYtmE+aSHxp 7Y1LWRqWSUhM6cbUNN5qa00pnGN1YzrduuyBB2Kv7F504Wua/rkIp7kGpbps6OkUsCPWEhfhN8vY pORJcutYBqJ5pqi6Yy97Tm1jtTWcrr+F+DHe6p55OVCPMh29ZXIDsgut9XE+PhIHKSeViaL8ZGvl G+PEOVsYrZC0tl1HfDDhh3sIy0z3Yy+IEBsvOycLOQJAD978c/xY/5GKglyi0wrUqah/rrZOii3m XCHWyGWTXcEA5TXHe5g+GsW+2SOjWjd0ojqhMlqPnfjv0aweY95p0HRO68nlIlpS2vg3Mx1ZJpXk vPL9K7zQyt6Zg3ZDmAlWSTkPJoGBRHvYozSg03yrDKY7EG6/Fn9LA6RxzMQFNLiGZjuFPv/ZJVXE DbN0MoY4QEUUkJ6P+2lRJ0GoK/46z5K02XF9cWTwPvVmHw6yCAS5amEtSPWrP9Fdovkar+diwqwy aT8O6gkso8BsmSmDBjbi3reT/B9fZmGklhauC04C5hMYDamyDeid56i6swADBhAAu+SspV9y0H7N hdEDAtHBAMMkyw9o1m/BEbHgvuwDjiV0hc7aE5OTcXBSO2qeFUwZzZbYEst1fmd2y0nBDPLns9aL kMPmF0TR78QbDFGXrGoXijAYHpyIsdGvhYqrzCvocMIa0Ty6BIcNTzzBZsj5FWETeFmMZgnN4//b q2xPlcUqLHner9YnP0vqBcTyPYqmOIn2xaBeZta9f4xwlb8BgAgVFhOsX4iebiBfI0+0cEa/sU64 MOCo4Uk18IN+kTzAEOAA0Ix6uJpI9zVYkSDAxxjKDXxBAQ5WYy4ri4yE30l1wOQAnXR5KQ1mi7Xq uqM2y+D3ZKIQcglsHE7LtsgBTElzNIk5yFMZFpV7+csT06cdgST4GBPi6rP7Ezxeot5ndJ68rnNn zFWkW5RfYUNjvvskMa6Ojck8dbHdFYKvQzEjXL9CkqgoInxhXN+EdpVT8Vz1oeVCXy09tNiyMrDJ aKbOVbuPXMt+CFAp1590MEVVAWnkNKOSVyaWKOeDtT6lXkgPCQ97T+rl620g+7zZov+DZrGzqepP 3kUow6G6S6bFASyIaBlL4u98odrXieEGB+CTcmsF/ha1+9dzEbHA3bbZRBi342mL6m6n0W1XAje2 lzSo/xl6h8yz8tQYTha9XTvzFdfY2psXD2mbx9Vysqbyy1zGRbV6LR8A6IcDQvjCeAQYEQgAIBYh BMMQW/nGPvEB5T2Mz2mz7bYjm6pHBQJgUB0rAhsMAAoJEGmz7bYjm6pHYNMA/1z/r9sTWiUd7apE kNy3oHhMHs3v2Hi2RjV2+k7GvOpJAQCzo/P1JdBeAb3aUmkECLvrYDf95YJ82459WrYf51tADA== =3MCM -----END PGP PUBLIC KEY BLOCK-----

[참고] 다크웹에 공개된 랜섬웨어 피해 조직 목록

- bit.ly/2YwotlM. I DarkTracer

정부지원 해킹 그룹의 위협성. 통일 및 국방인사를 대상으로한 타겟형 공격. 주의가 요구됩니다.

#ThreatIntelligence.

<전인범 전 특전사령관. 전 전 사령관 제공>

북한이 전인범 전 특전사령관과 최정훈 탈북의사(고려대 교수)를 겨냥해 해킹 공격을 펼친 것으로 확인됐다. 안보와 대북 전문가를 노린 북측 해킹 공격이 양적, 질적으로 진화했다는 평가다.

전 전 사령관과 최 교수는 최근 KBS 북한 전문 프로그램 '남북의창' 작가 A씨를 사칭한 이메일을 각각 받았다. A씨는 '남북의창' 실제 작가이며 A씨가 실제 사용하는 이메일 주소가 스피어피싱에 악용됐다.

A씨에 따르면 공격자는 지난 5월 A씨가 이메일 보안을 강화하기 전 A씨 이메일 계정에 직접 침투, 스피어피싱을 유포했다. 이메일 계정에 이중 보안이 설정된 이후에는 허위 도메인을 만들어 공격을 지속했다. A씨는 “북한 분야 학자와 연락할 일이 많은데 이 사건 이후 '사전에 전화하지 않고 인터뷰를 요청하는 경우는 없다'고 고지했다”고 말했다.

A씨를 사칭한 스피어피싱 이메일은 각기 다른 시기에 발송됐다. 전 전 사령관에게는 7월 북한 담화 관련 인터뷰를, 최 교수에게는 6월 볼턴 회고록 관련 인터뷰를 사칭했다. 내용은 공격 대상별로 다르게 꾸몄다. 자료 참고용 구글 드라이브 링크를 삽입하고 클릭 시 '대북 인식 변화' '국정원장' 등 공격 대상이 관심 가질 만한 PDF 문서를 노출했다.

전 전 사령관은 “이메일을 받은 시기는 마침 '남북의창'에서 유엔군사령부 문제가 다뤄지던 때”라면서 “평소 해킹 공격을 의심하지 못했다면 자칫 속을 뻔했다”고 말했다. 전 전 사령관은 2013년 유엔군사령부 군사정전위원회 한국군 수석대표 겸 한미연합군사령부 부참모장을 역임했다. 현재 한국자유총연맹 부총재로 재임, 공격자는 이메일 제목과 도입부에 '부총재님'이라고 명명하는 치밀함을 보였다.

<전인범 전 특전사령관에게 발송된 스피어피싱 이메일 본문. 보안 연구자 제공>

최 교수 역시 공격을 의심해 추가 피해는 없었다고 밝혔다. 최 교수는 북한 청진의대를 졸업한 뒤 감염병 대응을 담당했던 북한 출신 의사다. 최 교수는 “지난달에도 이와 비슷한 이메일이 들어오는 등 피싱 공격을 지속 받는 상황”이라면서 “올해 들어 북한 코로나19 대응 현황에 관해 대외 발언을 하다 보니 공격 횟수가 늘어난 것 같다”고 말했다.

본지가 보안 전문가에게 의뢰해 이메일 두 건을 분석한 결과 동일한 북한 해킹조직 소행인 것으로 드러났다.

문종현 이스트시큐리티 시큐리티대응센터(ESRC) 센터장은 “전 전 사령관과 최 교수에게 스피어피싱 이메일을 보낸 공격자는 같은 해킹조직에 의한 것”이라면서 “해킹조직 '탈륨'이 배후”라고 지목했다. '탈륨'은 2014년 한국수력원자력 해킹 배후 '김수키'와 연관성이 높으며 북한 정부가 후원하는 것으로 알려졌다.

두 사람에게 발송된 이메일 명령제어(C2) 서버는 '탈륨'이 사용하는 C2 서버와 동일하게 조사됐다. 문 센터장은 “다른 '탈륨' 사건에서 분석된 이메일 주소와 이들 이메일 주소가 100% 일치한다”면서 “이들 이메일은 최종적으로는 정상 PDF 파일이 나타나지만 그 과정에서 피싱을 시도하고 계정 정보가 유출되면 실제 구글 드라이브로 연결하는 구조”라고 말했다.

오다인기자 ohdain@etnews.com

https://www.etnews.com/20200914000196?fbclid=IwAR0n5ZbbgsO4sDUs6KLhji8lZnEPBfLbMmJ_M7SZUT_aEWapWlKh8xLpsK8

IOC

root@www65.dotnetpia.co.kr

smtp.mailfrom=root@www65.dotnetpia.co.kr;

202007140030.06E0UgDR018339@www65.dotnetpia.co.kr

202006230745.05N7jA3D009968@www65.dotnetpia.co.kr

211.218.150.87

https://www.virustotal.com/gui/file/f7af0ada4827201905a8922a5753def68835d45d903f84855a61d65f5d47621d/summary?fbclid=IwAR0kS1kXn7F4Wx5z5NDwz1JlveAz_KMjvdWRB3bLcmMjNiAziFP1eyshZgQ
https://www.virustotal.com/gui/file/f7af0ada4827201905a8922a5753def68835d45d903f84855a61d65f5d47621d/summary?fbclid=IwAR0kS1kXn7F4Wx5z5NDwz1JlveAz_KMjvdWRB3bLcmMjNiAziFP1eyshZgQ

https://www.virustotal.com/gui/file/f7af0ada4827201905a8922a5753def68835d45d903f84855a61d65f5d47621d/summary?fbclid=IwAR0kS1kXn7F4Wx5z5NDwz1JlveAz_KMjvdWRB3bLcmMjNiAziFP1eyshZgQ

https://www.virustotal.com/gui/file/592464cc171e9fdf5354f33fb89192c54d86fea95a4571daad20f1896355dd2a/summary?fbclid=IwAR2jhEV7l7jxDpP7rfv82_P9RahnuG-e9oDkxXmgJgTeLI0smggAVFrt0os

공격에 활용된 파일 

이스라엘을 포함한 해외 항공·방위산업체를 겨냥한 북한 해킹조직의 수법을 분석한 clearskysec은

‘드림잡 작전’(Operation ‘Dream Job’)이란 46쪽 분량의 보고서를 공개했습니다.

해당 Case는 구인공고를 미끼로 한 공격 사례 입니다.

특히, 보고서는 ‘라자루스’가 구인·구직 사회연결망 서비스인 ‘링크트인’에 가짜 채용담당자 계정을 만들고 악성코드를 심은 전자우편을 보내는 것을 넘어서, 인터넷 메신저 ‘왓츠앱’을 통해 사람들에게 직접 문자나 전화로 연락을 취하는 ‘직접 접촉’ 수법에 주목했습니다.

상세 사항은 상기 Reference를 참고하세요.

https://www.clearskysec.com/operation-dream-job/?fbclid=IwAR3ZO2QFxIM62Cz0sNXYVlUqrw93XOpCzvg0ivbXif7mD4VCTWWQXA-IeQc