[Security News] 세계적인 관심 받고 있는 북한의 APT 단체 킴수키, 어떻게 막아야 하나

북한의 APT 단체 킴수키, 계속 공격 수위 높여…

북한의 해킹 조직 킴수키(Kimsuky)에 대한 세계적인 관심이 뜨겁다. 그만큼 여러 조직과 단체들의 집중 추격을 받고 있기도 하다는 건데, 이 킴수키는 개의치 않는 것처럼 보인다. 계속해서 공격 수위를 높히고 범위를 넓혀가고 있기 때문이다.

킴수키는 북한 정권과 매우 밀접한 관계를 가지고 있는 해킹 단체다. 보통 정찰을 통한 정보 수집에 집중한다. 정치와 외교, 국방이 이들의 관심사다. 한국과 일본, 미국 단체들이 이 킴수키의 주요 표적이 될 때가 많다. 최소 2012년부터 활동을 해 왔으며, 갈수록 왕성한 활동력을 보여주고 있다.

지난 달 보안 업체 맨디언트(Mandiant)가 이들에 대한 보고서를 냈고, 독일과 한국의 정부 기관들이 합동으로 경고문을 발표해 이들의 크롬 확장 프로그램 기반 캠페인에 대해 알리기도 했으며, 바이러스토탈(VirusTotal)에서도 킴수키와 관련된 바이러스 관련 검색 요청 횟수가 크게 늘어났다고 발표했다.

맨디언트의 수석 분석가 마이클 반하트(Michael Barnhart)는 “보통 APT 단체들은 추적이 시작되면 잠잠해지다가 와해되기 일쑤”라고 말한다. “하지만 킴수키는 크게 상관하지 않는 것으로 보입니다. 이들의 활동 사항을 추적해 보면, 보안 업계나 사법 기관들이 이들에 관해 보고서를 발표하거나 수사의 강도를 높일 때 눈꼽만큼도 신경을 쓰지 않는다는 게 절로 보일 정도입니다.”

킴수키, 무슨 일 벌이고 있나?

그 동안 킴수키는 여러 가지 방법으로 자신들의 목적을 달성해 왔다. 그 중에서도 스피어피싱에 매우 능숙한 모습을 보일 때가 많다. 스피어피싱을 성공시키기 위해 특정 조직이나 인물을 사칭하기도 하는데, 이 부분에서도 남다른 통달함을 선보인다.

또한 지난 수년 동안 자신들만의 멀웨어를 부지런히 개발해 오기도 했다. 필요에 따라 브라우저 확장 프로그램을 만들기도 하고, 원격 접근 트로이목마, 모듈형 스파이웨어 등을 개발하기도 했다. 다크웹에서 다른 그룹이 만든 멀웨어를 적극 활용하기도 했다. 한 마디로 멀웨어 활용이라는 부분에 있어서는 예측 불허의 유연성을 보여준다는 것이다.

바이러스토탈은 블로그를 통해 킴수키라는 그룹이 .docx 파일을 통해 멀웨어를 유포하는 데에 얼마나 능숙한지를 드러내기도 했다. 특히 윈도와 MS 오피스에서 발견된 CVE-2017-0199 취약점을 활용하는 데에 능숙한 모습을 보인다고 설명했다. 이 취약점은 원격 코드 실행 취약점으로, CVSS 기준 7.8점을 기록한 바 있다.

바이러스토탈에 의하면 킴수키가 사용하는 멀웨어 샘플의 거의 대부분이 한국과 미국에서 업로드된다고 밝혔다. 킴수키가 오랜 시간 한국과 미국을 공격해 왔다는 것과 일치하는 대목이다. 하지만 이들의 공격은 이탈리아와 이스라엘에서도 발견되곤 한다. 바이러스토탈에서 킴수키 관련 멀웨어를 가장 많이 검색하는 국가 2위는 튀르키예이기도 하다. 이에 바이러스토탈은 “튀르키예에도 의외로 킴수키 피해자가 많이 있거나, 튀르키예를 기반으로 킴수키가 활동하고 있을 가능성이 높다”고 추측하고 있다.

킴수키의 공격, 어떻게 막는가

킴수키의 공격 범위는 다른 APT 단체들에 비해 넓은 편이라고 반하트는 강조한다. “그러므로 협력 체계를 구성해 대응해야 합니다. 이들과 관련된 정보를 빠르게 알리고 공유해 방어 체계를 서로 구축할 수 있도록 돕는 것이 중요합니다. 혼자서는 고도화 된 이들의 공격 기술과 전략을 막기 힘듭니다.”

또한 킴수키는 거대한 조직을 공격할 때에도 반드시 그 조직의 개인을 표적으로 삼는다는 것이 특징이라고 반하트는 지적한다. “늘 개인으로부터 큰 공격을 시작하는 게 킴수키입니다. 퍼즐을 푸는 그들의 방식이죠. 그러니 방어를 해야 하는 개개인이 어느 정도 보안 실천 사항을 준수하고 있어야 합니다. 아무 링크나 클릭하지 않고, 아무 파일이나 열지 않으며, 다중인증 옵션을 사용한다는 등의 기초적인 수준을 모두가 갖춰야 합니다.”

반하트는 아무리 킴수키가 대단하더라도 개개인이 기본 보안 수칙을 지켰을 때의 강력함을 뚫어내기는 쉽지 않을 것이라고 강조한다. “사이버 보안 위생을 잘 지키는 것만큼 조직의 방어력을 단단히 하는 것은 없습니다. 그 단단함이 가시적으로 드러나지 않을 뿐이지, 여러 자료들을 검토하면 향상이 분명히 이뤄집니다.”

기사 출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=117413)

—

북한의 해커조직 킴수키의 활동 범위가 넓어지고 치밀해 짐에 따라 기업의 규모와 상관없이 조금의 틈으로도 쉽게 원하는 정보를 탈취해 갑니다. APT 공격은 공격의 효율성을 최대한 높이고자 특정 개인이나 조직을 타깃으로 삼아 오랜 기간 관찰을 하며 정보를 파악 후 은밀하고 지속적으로 공격 대상이 공격을 당한지도 모르게 진행됩니다.

이제는 사용자가 인지하지도 못한 위협을 조기에 차단하거나, 이미 공격 당했더라도 빠르게 대응할 수 있는 시스템을 구축해야 하는건 기업의 필수 조건이 되었습니다. 차세대 APT 솔루션인 ‘시큐레터’는 APT 공격의 대다수를 탐지, 진단, 분석하는 이메일 공격에 특화되어있는 보안 솔루션입니다.

이메일이나 파일 서버 등을 통해 들어오는 다양한 형태의 문서 파일이 발견되면 어셈블리 레벨 분석을 진행해 파일 속성을 진단합니다. 특히, 악성코드 분석가의 분석 기법을 자동화한 리버스엔지니어링이라는 기술을 통해 메일이나 파일내 숨어있는 악성코드를 진단함으로써 해당 문서 내 악성코드가 활성화되기전 탐지와 차단이 가능합니다.

전세계 유일 자동화된 리버스 엔지니어링 기반의 악성코드 탐지, 분석, 차단 솔루션 시큐레터는 ‘악성파일 탐지율’ 100% 달성이라는 KISA 성능 평가를 인정 받아 믿고 사용할 수 있는 제품이며, 최근에는 한국정보통신기술협회(TTA)에서 실시한 악성코드 분석 확인∙검증(Verification& Validation)시험에서 더 빠른 진단속도 12초를 검증해 업계 내 기술 경쟁력을 한층 더 강화하였습니다.

지금 해킹으로 랜섬웨어가 발생하였거나 메일을 통해 악성코드에 감염되었다면 악성 행위를 가장 정확하고 신속하게 잡아낼 수 있는 차별화 된 악성코트 차단시스템 ‘시큐레터’로 재발을 방지하시기 바랍니다. 정보보안 컨설팅 전문기업인 피플러스가 기업의 상황에 맞게 보안 컨설팅을 설계해 드립니다.