한 보안 업체가 북한의 해킹 단체인 킴수키를 분석했습니다. 의외로 높은 기술력을 발휘하지 않고 세계 곳곳에서 피해를 일으켰다는 사실이 강조됐습니다. 그만큼 쉽게 당해주는 것이 지금 사이버 보안의 현실입니다. 북한의 사이버 작전 수행 부대 중 하나가 사이버 스파이 행위를 외교관들과 지역 내 정치학 전문가들을 겨냥해 집중적으로 진행해 오고 있다는 내용의 보고서가 발표됐습니다. 주로 사용자 크리덴셜을 활용하는 기법을 사용하며 멀웨어는 극히 제한적으로만 사용한다고 합니다.
보안 업체 프루프포인트(Proofpoint)가 발표한 보고서에 의하면 이 그룹은 TA406이라고 하는데 보통 킴수키(Kimsuky)라는 이름으로 더 잘 알려져 있습니다. 주로 미국, 러시아, 중국의 인물들이 표적이며 조용히 크리덴셜을 수집히거나 정보를 훔쳐내는 활동이 주를 이룹니다. 그리고 이렇게 모은 정보를 활용해 금전적인 이득으로 전환하는데 이는 거의 모든 북한 해킹 그룹의 특징입니다.
그 동안 킴수키 혹은 TA406은 침해하기 쉬운 사람이나 단체를 주로 노려왔습니다. 하지만 프루프포인트에 따르면 올 한 해 동안 이들은 고위급 정부 요원이나 사법 기관의 지도부, 경제 전문가들을 주로 공격하는 모습을 보여주었다고 합니다. 공격하기 까다로웠던 표적들을 공략하는 데 거리낌이 없어진 모습입니다. 2021년 이전에 TA406은 국가 안보 소식들을 미끼로 삼지 않았습니다. 하지만 프루프포인트의 부회장인 셰럿 드그리포(Sherrod DeGrippo)는 이러한 패턴 역시 바뀌고 있다고 설명합니다. “최근 이들은 핵 무기, 미국의 조 바이든 대통령, 한국의 외교 전략과 같은 주제로 피해자들을 공략했습니다.” 하지만 그리 놀라운 일이라고 볼 수만은 없습니다.
“TA406의 가장 큰 특징은 금전적 이득을 취하기 위해 모든 수단과 방법을 이용할 수 있고 그 만큼 유연하다는 것입니다. 그리고 같은 조직이나 개인을 반복해서 꾸준히 염탐한다는 것도 이들이 흔히 보이는 패턴이고요. 국가의 상황에 따라 공격 표적과 목적, 기법을 자주 바꾸기도 합니다.” 원래 보안 업계는 중국과 러시아의 사이버전 행위에 관심을 집중시켜 왔었습니다. 하지만 최근 들어 북한과 이란의 해커들 역시 집중의 대상이 되어가고 있습니다.
이번 주만 해도 미국과 영국, 호주의 정보 기관들이 연합하여 이란 해커들의 악성 행위를 규탄했습니다. 그보다 조금 전에는 북한의 유명 해킹 그룹인 라자루스(Lazarus)가 한국의 보안 소프트웨어를 익스플로잇 해서 라트비아의 IT 자산 관리 업체를 공격했다는 소식도 나왔었습니다. 이번 보고서에는 킴수키의 하위 그룹으로 보이는 세 개의 단체가 비교되고 있습니다. TA406 외에 TA408과 TA427이 같이 등장하고 있습니다. 이 셋은 규모가 작은 조직이나 큰 조직의 하위 조직들을 주로 노리며, 정부 기관, 학술 기관, 매체, 암호화폐 관련 조직들이 주요 표적이라는 공통점을 가지고 있다고 합니다.
“크리덴셜 즉 사용자 이름과 비밀번호를 수집해서 자신들의 목적을 달성하는 게 이들의 목적입니다. 하지만 그 외에도 다양한 기법을 사용하고 서로 공유합니다.” 이 세 북한의 해킹 단체들은 메시지 교류를 위해 다양한 플랫폼을 운영합니다. PHP를 기반으로 한 PHPMailer나 스타(Star)는 물론 지메일과 얀덱스 같은 대형 서비스도 곧잘 운영합니다. 이런 서비스들을 훔친 크리덴셜과 결합해 사용하면 사용자들이 보다 쉽게 속는 것입니다. 특정 환경에서 공격 지속성을 갖추기 위해 멀웨어를 사용하기도 하는데 이는 그리 자주 나타나는 패턴은 아닙니다.
“2021년 TA406이 일으킨 보안 사건의 10% 정도에서만 멀웨어가 발견됐습니다. 멀웨어를 그리 선호하는 그룹이 아닙니다.” 결국 북한의 유명 해킹 그룹 중 하나가 되기까지 고급 해킹 기술을 적극 사용하지 않았다는 뜻인데, 크리덴셜 수집이라는 공격 기법이 얼마나 사용자들 사이에서 잘 통하는지를 반증하기도 합니다. 실제 사이버 공격자들은 크리덴셜을 적극적으로 수집하고, 다크웹에서도 활발하게 거래합니다. 코로나로 인해 집에서 근무하는 사람들이 늘어나면서 크리덴셜은 공격자들에게 더 영양가 높은 아이템이 되었습니다.
출처 : 보안뉴스 정보유출, DLP, GRADIUSDLP, 그라디우스, 데이터유출, 정보유출방지, 내부정보유출방지