보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

지속적인 방위산업체 공격 시도, 왜?

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2017-07-03

잇따른 랜섬웨어 광풍에 휩쓸려 잊힌 것이 있다. 바로 지능형 위협(Advanced Persistent Threat, 이하 APT)이다. 국내외 보안 전문가들은 몇 년 전부터 ‘랜섬웨어’와 ‘APT 공격’이 더욱 고도화될 것이라고 주장해왔다. 실제로 지난 2010년부터 국내외 방위산업체를 대상으로 한 APT 공격이 본격화되었으며 지금 이 순간에도 꾸준히 지속되고 있다. ‘방위산업체’는 말 그대로 방위산업물자를 생산하는 업체로, 국가 안보와도 밀접한 관련이 있다. 

이 글에서는 실제 사례를 중심으로 국내 주요 방위산업체 공격 동향을 면밀히 살펴본다. 

 

‘APT’라는 용어는 군사•방위 분야와 밀접한 관련이 있다. 2006년 미(美) 공군에서 처음 사용된 것으로 알려져 있는 이 용어는 적대국간의 지속적인 공격을 의미한다. 지난 2010년 이후 본격화된 국내외 방위산업체에 대한 사이버 공격 또한 이와 다르지 않다. 국가 안보와 밀접한 관련이 있는 만큼, 간혹 적대 국가 혹은 경쟁 국가가 특정 국가의 방위산업체를 공격하는 사례가 있기 때문이다. 방위산업체에 대한 공격이 단순 산업 기밀 탈취를 넘어 국가 안보와 관련된 사항까지 노리는 것으로 추정되는 이유도 같은 맥락이다. 국내의 경우, 일부 공격은 방위산업체 외에도 국내 정치•외교 기관도 공격 대상으로 삼고 있는 것으로 추정된다.  

 

국내·외 주요 방위산업체 공격 현황

보안 업체 및 언론사를 통해 알려진 국내외 방위산업체에 대한 주요 공격 현황은 [그림 1]과 같다. 국내에서는 2010년 이후 4개 이상의 공격 그룹이 활동한 것으로 확인된다. 

 

  

[그림 1] 국내·외 주요 방위산업체 공격

 

국내 방위산업체를 공격한 주요 그룹의 활동 기간과 공격에 사용된 악성코드는 다음과 같다.

 

  

[그림 2] 주요 공격 그룹 활동 기간

 

주요 공격 그룹 중 하나인 아이스포그(Icefog) 그룹은 적어도 2011년부터 시작해 2013년 10월까지 활동한 것으로 확인된다. 현재는 확인되지 않지만 악성코드를 변경해서 활동할 가능성도 있다. 레드 닷(Red Dot) 그룹은 2014년 6월부터 2016년 말까지 활동했으며 이스캐드(Escad) 악성코드를 공격에 사용한다. 하지만, 초기 버전으로 보이는 악성코드는 2013년에 발견되었다. 특히 이 그룹은 2014년 11월 미국 영화사 공격에도 연관된 것으로 보인다. 2016년에는 방위산업체뿐만 아니라 다른 국내 기업에 대한 공격도 진행했다. 

 

2015년 등장한 고스트 라이플(Ghost Rifle) 그룹은 라이프도어(Rifdoor)와 고스트랫(Ghostrat) 악성코드를 주로 사용한다. 고스트 라이플 그룹은 레드 닷 그룹과 함께 2015년 국내 방위산업체 관련 컨퍼런스 참가 업체에 대한 공격을 가했다. 또한 이 그룹은 2016년 초 보안 업체에 대한 공격과 대기업 해킹에도 연루된 것으로 알려졌다. 

 

2016년 초 등장한 어나니머스 팬텀(Anonymous Phantom) 그룹은 2016년 가을 이후 활동이 뜸하다가 2017년 초 에너지 관련 연구소 등을 공격한 것이 확인되었다. 

 

레드 닷 작전(Operation Red Dot)에서 사용된 이스캐드 악성코드는 세계 여러 곳에 C&C 서버가 존재하는 것으로 확인되었다. 한편 2015년부터 2016년까지 발견된 라이프도어 악성코드와 2016년 초부터 활동을 시작한 팬도어(Phandoor) 악성코드의 C&C 서버는 대부분 한국에 위치했으며, 국내 대학교 시스템을 주로 이용하고 있었다.

 

방위산업체 해킹, 어떤 공격 방식 사용했나

방위산업체 공격 사례를 분석한 결과, 공격 방식은 크게 스피어피싱(Spear Phishing) 이메일, 워터링 홀(Watering-hole), 중앙 관리 시스템 등 세 가지로 나뉜다. 주로 이메일을 통한 악성코드 유포와 워터링 홀 공격 방식을 사용하였으며, 국내 업체 공격의 경우 중앙 관리 시스템을 해킹해 악성코드를 유포했다. 이 외에도 보안 프로그램, 액티브엑스(Active-X) 취약점을 이용한 공격도 알려져 있다.

 

1. 스피어피싱(Spear Phishing) 이메일

공격자는 메일 수신자의 정보를 미리 파악해 메일에 첨부된 파일을 열어보거나 본문 내용에 포함된 링크를 누르도록 유도한다. 메일의 내용은 주로 업무나 사회적으로 관심을 끄는 내용이다. 일반적으로 워드, 엑셀, PDF 등의 문서를 변조하여 취약점이 존재하는 프로그램에서 해당 문서를 열어볼 경우 악성코드가 실행될 수 있는 방법을 사용한다. 문서로 위장한 실행 파일을 첨부하기도 하는데 위장 파일 형식으로는 EXE, LNK 파일이 대표적이다.

 

2. 워터링 홀(Watering-hole)

워터링 홀(Watering-hole)은 공격자가 특정 웹사이트를 해킹해 취약점 공격 코드를 숨겨두고 사용자가 취약한 웹 브라우저로 접속할 경우 악성코드에 감염시키는 공격 방식이다. 공격자는 자신이 원하는 공격 대상이 자주 방문할만한 사이트를 해킹한다. 일부의 경우에는 특정 IP 주소에서 접속한 경우에만 악성코드에 감염되게 함으로써 더욱 한정된 대상만을 공격해 발견을 어렵게 한다.

 

3. 중앙 관리 시스템 해킹

2016년 국내 보안 업체와 대기업 해킹 건은 모두 중앙 관리 시스템을 해킹하여 시스템에 연결된 컴퓨터에 악성코드를 배포하는 방식을 사용했다. 일반적으로 회사에서 사용하는 컴퓨터가 관리를 위해 특정 관리 시스템에 연결되어 있는 점을 노린 것이다. 공격자는 주로 목표 대상 업체에서 사용하는 프로그램을 미리 분석한 후 해당 프로그램의 취약점을 노려 공격에 이용하고 있다. 

 

국내 방위산업체 공격의 실체

실제 국내 방위산업체 공격 사례를 중심으로 공격을 시도한 그룹에서 사용한 악성코드와 공격 방식에 대해 살펴보자.

 

1. 아이스포그(Icefog) 공격 그룹 

아이스포그(Icefog) 그룹은 2011년부터 공격을 시작했으며 한국과 일본의 정부 기관 및 방위 산업체가 주요 공격 대상이었다. 마이크로소프트 오피스, 자바, HLP 취약점 등이 공격에 이용되었으며 국내 공격 대상에는 한글 프로그램의 취약점도 이용되었다. 또한 공격에 사용된 악성코드 중에는 윈도우 악성코드뿐만 아니라 맥 악성코드도 존재한다. 국내 업체에서는 해당 악성코드로 인해 자료가 유출된 정황도 확인되었다. 

 

안랩은 국내 방위산업체 등에서 아이스포그 그룹의 악성코드 변형을 추가 확인했다. 안랩이 확인한 바에 따르면 마지막으로 발견된 변형은 Icefog-NG다. 이외에도 별도로 안랩에서 언급하지 않았지만 국내 방위산업체로부터 접수된 악성코드 변형도 있는 것으로 확인됐다. Icefog-NG는 2013년 6월 19일 최초 발견되었으며 10월까지(제작은 8월로 추정) 총 13개의 변형이 발견되었다. 

 

Icefog-NG는 방위산업체뿐 아니라 정치, 외교 분야도 공격 대상으로 삼았다. Icefog-NG 변형별 C&C 서버의 주소를 분석한 결과 국내 보안 사이트와 유사한 주소도 확인되었으며, 이로 미루어 볼 때 Icefog-NG는 국내를 노린 악성코드로 추정된다. 안랩에서는 현재까지 Icefog-NG 변형 중 최소 3개 이상이 국내 공격에 이용되었음을 확인했지만, 이 밖에도 확인되지 않은 공격 대상이 더 있었을 것으로 추정하고 있다.

 

아이스포그 공격 그룹은 2013년 10월 마지막 활동이 확인된 후 현재까지 활동이 확인되지 않고 있다. 이들이 활동을 중단했는지 악성코드를 변경해 새롭게 활동하고 있는지는 확인되지 않는다.

 

2. 오퍼레이션 레드 닷(Operation Red Dot)

오퍼레이션 레드 닷은 2014년 봄부터 2017년 2월까지 계속 공격 활동을 지속하였으며, 2014년 말 미국 영화사 해킹과도 연계된 것으로 보인다. 안랩은 레드 닷 작전에서 사용된 100여 개의 관련 이스캐드 악성코드 변형을 발견했으며 초기 버전으로 추정되는 변형은 2013년부터 발견되었다. 2014년부터는 미국 영화사뿐만 아니라 대북 사이트, 방위 산업체 등에 대한 공격도 확인되었다. 발견된 변형 사이에는 코드 유사성을 포함해 파일명에도 상당한 공통점이 존재했다. 

국내 기관에 대한 공격은 2014년 11월 미국 영화사 해킹 이후 2015년 봄부터 확인되었다. 국내 방위산업체에 대한 공격이 본격화된 것은 2015년 10월 ‘항공 관련 학회’를 사칭한 스피어 피싱 이메일을 통한 공격부터 였다.

 

 

[그림 3] 스피어 피싱 메일 

 

[그림 3]과 같이 메일에 첨부된 초청장.hwp 파일을 열면 한글 프로그램 취약점을 이용한 백도어(Backdoor)가 사용자 컴퓨터에 설치된다. 

2015년 11월에는 ‘서울 에어쇼에서 전시된 10대 명품무기입니다’라는 제목으로 전시회 참가 업체들에게 한글 문서를 첨부한 메일을 발송했다. 첨부된 한글 문서를 실행하면 마찬가지로 한글 프로그램 취약점을 공격해 사용자 PC에 이스캐드 악성코드를 감염시킨다.

2016년부터는 공격 대상이 확대되어 호스팅 업체, 대기업, 언론사 등에 대해서도 공격을 시도하였다. 악성코드도 더 다양화되었으며 윈도우 제로데이 취약점을 이용한 공격도 발견됐다. 2017년 2월까지 공격이 확인되었지만 현재까지도 공격을 지속하고 있을 가능성이 높다.

 

3. 고스트 라이플 작전(Operation Ghost Rifle) 

오퍼레이션 고스트 라이플을 진행한 공격 그룹은 주로 방위산업체를 노렸다. 대표적으로 2016년 초 국내 보안 업체, 2016년 6월 대기업 전산망 해킹에 연관된 것으로 알려져 있다. 

 

2015년 가을, 해당 그룹은 서울 국제 항공우주 및 방위산업 전시회(Seoul International Aerospace & Defence Exhibition, 이하 ADEX) 참가 업체에 대한 공격을 시도했다. ADEX는 1996년부터 격년으로 열리는 국제 방위산업 전시회다.

 

공격자는 주최측으로 위장하여 취약점이 포함된 한글 파일이나 악성 매크로를 포함한 엑셀, 워드 문서를 메일에 첨부하는 공격 방식을 사용했다. 메일에 첨부된 문서는 행사 관련 내용이며 첨부 파일 실행 시 사용자가 ‘콘텐츠 사용’을 선택하면 악성코드가 다운로드된다.

 

  

[그림 4] 행사 주최 기관으로 위장한 이메일

 

2015년 ADEX 참관 업체에 대한 공격에 최소 2개 이상의 공격 그룹이 참여한 것이 확인됐다. 한글 프로그램 취약점 파일의 경우 이스캐드 악성코드 변형이 포함되어 있었으며, 워드나 엑셀 파일의 경우에는 사용자가 매크로를 실행하면 라이프도어 악성코드 변형에 감염되었다.

 

2016년 6월에는 자산관리 솔루션을 이용한 방위산업체 관련 대기업 해킹 사건이 접수되었다. 자산관리 솔루션의 취약점을 이용한 것으로 파일 배포 기능을 통해 악성코드를 배포하여 대기업 해킹을 시도한 사건이다. 해당 공격으로 인해 설치된 고스트랫을 통해 약 4만여 건의 문서가 유출된 것으로 확인되었다.

 

  

[그림 5] 중앙 관리 시스템 취약점을 이용한 악성코드 관계도

 

특히 사건이 발생하기 4년 전인 2012년 자산관리 프로그램 취약점 테스트 정황이 확인되었고, 2014년 7월부터 해킹을 시도한 것으로 보아 공격자는 해당 대기업에 대한 공격을 장기간 준비했음을 예상할 수 있다.

 

4. 어나니머스 팬텀 작전(Operation Anonymous Phantom)

2016년 1월부터 10월까지 유사 악성코드를 이용한 국내 방위산업체에 대한 공격이 확인되었다. 안랩은 공격에 사용된 파일 이름과 통신 시 사용하는 문자열을 토대로 해당 공격을 ’오퍼레이션 어나니머스 팬텀(Operation Anonymous Phantom)’으로 명명했다. 초기 공격에 사용된 파일 이름이 ‘팬텀(Phantom.exe)’이며, 안랩의 해당 악성코드 진단명은 ‘팬도어(Phandoor)’이다. 해당 파일은 통신을 할 때 익명을 의미하는 ‘어나니머스(Anonymous)’ 문자열을 사용하는 것이 확인되었다.

해당 악성코드는 2016년 1월 최초 발견되었지만, 2015년 10월 처음 제작된 것으로 추정된다. 다수의 국내 방위산업체를 노렸으며, 정확한 공격 방식은 확인되지 않았다. 현재까지 발견된 변형은 총 37개로, 파일의 크기는 76,800 바이트에서 95,232 바이트 사이다. Phantom.exe 외 F_lps.exe, ahnV3.exe, v3scan.exe, otuser.exe 등 다양한 이름의 파일들이 발견되었다. 

최근에는 2017년 4월 더미다(Themida) 패커로 패킹된 악성코드 변형이 국내 에너지 관련 연구소에서 발견되었다. 2017년 5월에는 특징적인 어나니머스(Anonymous) 문자열이 제거된 변형도 발견되는 등 현재까지 꾸준히 활동 중이다.

 

 

공격 그룹간 연관성과 한국어 사용자 연루 가능성도 제기돼

앞서 언급한 사례와 같이 국내 방위산업체 공격 시도는 다수의 그룹에 의해 이뤄졌다. 고스트 라이플 그룹에서 사용한 라이프도어 악성코드와 어나니머스 팬텀 그룹에서 사용한 팬도어 악성코드는 유사한 암호화 방식을 사용하고 있다. 한편 국내 공격에 사용된 악성코드를 추적한 결과 다른 악성코드에 대한 연관성도 함께 발견되었다.

 

  

[그림 6] 라이프도어와 팬도어의 암호화 코드

 

결론적으로 국내 방위산업체를 공격 대상으로 한 레드 닷 그룹, 고스트 라이플 그룹, 어나니머스 팬텀 그룹의 연관성은 명백하지 않지만, 코드와 암호화 방식의 유사성으로 미루어볼 때 이들 그룹이 동일 그룹 혹은 협력 그룹일 가능성이 있다.

 

일부 그룹에서 공격에 사용한 프로그램 중에는 한국어로 된 프로그램이 확인되어 국내 공격자가 한국인일 가능성도 제기됐다. 고스트 라이플 그룹에서 사용한 악성코드 제어 프로그램은 ‘체계설정’, ‘문자렬’, ‘통보문현시’ 등과 같은 어색한 한글이 사용되고 있는 것이 확인됐다. 

 

  

[그림 7] 오퍼레이션 고스트 라이플에서 사용된 제어 프로그램

 

또한 어나니머스 팬텀 그룹에서 제작한 것으로 보이는 다른 악성코드의 PDB 정보에는 사용자 이름에 ‘KGH’와 같이 한국인으로 추정할 수 있는 이니셜과 횟수를 의미하는 '1차(cha)' 문자열을 포함하고 있기도 했다.

 

  

[그림 8] 한국인 제작자로 추정되는 정보

 

안랩을 비록한 국내·외 보안 업체들이 분석한 바와 같이 2011년 이후 방위산업체에 대한 공격이 더욱 고도화되고 있다. 방위산업체는 국가 안보와도 밀접하게 연관되어 있기 때문에 앞으로도 경쟁국, 적대국의 공격자들이 방위산업체에 대한 공격을 더욱 확대할 것으로 보인다.

 

국내 방위산업체에 대한 공격 시도 또한 꾸준히 확인되고 있다. 특히 일부 공격 그룹은 국내 방위산업체뿐 아니라 정치, 외교 분야에 대한 공격도 함께 진행하고 있는 것으로 보아 산업 스파이가 아닌 국가 주도의 첩보 가능성이 존재한다. 이와 같은 국내 방위산업체에 대한 공격은 단순 산업 기밀 유출을 넘어 국가 안보에 대한 위협이 야기되는 만큼 더욱 강력한 보안 대책과 관리가 필수다.

 

한편, 국내 방위산업체 공격 동향에 관한 보다 자세한 내용은 안랩 시큐리티대응센터(AhnLab Security Emergency response Center, ASEC)에서 발표한 '국내 방위산업체 공격 동향 보고서'에서 확인이 가능하다. 이 보고서에서 오퍼레이션 레드 닷에 사용된 이스캐드 악성코드 변형에 대한 상세 분석을 포함해 앞서 살펴본 국내 방위산업체 주요 공격 작전의 기술적 분석 내용을 확인할 수 있다.

 

▶ '국내 방위산업체 공격 동향 보고서' 전문 보기

 

  • AhnLab 로고
  • 차민석 수석연구원, 박종윤/이보원 연구원
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.