美국무부가 현상수배한 北해커, 어떻게 NASA 뚫었나 봤더니…

등록 2024.07.26 11:14:47수정 2024.07.26 13:24:53

국정원·FBI 등과 '韓美英 합동 사이버보안권고문' 발표

北 정찰총국 3국(RGB)과 연계된 해킹 활동 강조

로그포제이 취약점 악용해 초기 침투…웹서버 공격

취약점 패치 적시 적용 권고…방산·항공우주·핵 분야 경계

[워싱턴=뉴시스]미 국무부는 25일(현지시각) '정의를 위한 보상(RFJ)' 프로그램을 통해 임종혁에 대한 정보를 제공할 경우 최대 1000만달러(약 138억원)의 포상금을 지급한다고 밝혔다. (사진=RFJ 트위터). 2024.07.26. *재판매 및 DB 금지

[서울=뉴시스]송혜리 기자 = 미국 국무부가 북한 해킹조직 안다리엘 소속 해커 림종혁을 현상수배한 가운데 국가정보원이 미국 연방수사국(FBI), 영국 국가사이버안보센터(NCSC) 등과 한·미·영 합동 사이버보안권고문을 26일 발표했다.

림종혁은 미국 의료보험사와 항공우주국(NASA), 군사기지 등 미국 내 11개주의 17개 기관을 공격하는데 관여한 혐의를 받는다. 또 미시간과 캘리포니아 방산기업 컴퓨터 시스템과 텍사스·조지아 공군기지에도 접근한 것으로 드러났다.

림종혁은 현재 북한에 머무르는 것으로 추정되지만, 25일(현지시각) 미국 국무부는 이 해커를 대상으로 최대 1000만달러(약 138억원)의 현상금을 내걸었다.

전문화된 사이버 첩보활동과 랜섬웨어 활동으로 진화

국정원 권고문에 따르면 안다리엘은 평양과 신의주에 기반을 두고 있는 북한 정찰총국 3국 산하 국가배후 해킹조직이다.

안다리엘 조직의 다른 이름은 오닉스슬릿(Onyx Sleet, 구 플루토늄), 다크서울(Dark Seoul), 사일런트 천리마(Slient Chollima), 스톤플라이(Stonefly)·클라시오파(Clasiopa) 등으로 알려져 있다. 이 조직은 주로 정권의 군사 및 핵무기 개발을 위해 방산·항공우주·핵·해양 등 공학 기관들을 대상으로 민감 기술 및 지적 재산을 절취한다.

권고문을 작성한 한·미·영 기관들은 이 조직이 사용하는 유사한 기술들이 일본, 인도의 네트워크와 기업을 포함한 세계 여러 산업 분야와 국가에 지속적인 위협이 되고 있다고 보고 있다. 아울러 이 조직이 미국과 한국을 겨냥한 파괴적 공격에서 전문화된 사이버 첩보활동과 랜섬웨어 활동으로 진화했다고 평가했다.

로그포제이 취약점 공격에 당했다…자체 수정한 악성코드도 활용

안다리엘은 로그포제이(Log4j) 등 알려진 취약점을 악용해 웹 서버에 광범위한 공격을 자행하고 있다. 이를 통해 웹 서버에 설치된 악성 스크립트 파일인 '웹쉘'을 유포하고, 중요 정보와 응용 프로그램에 접근해 추가적인 공격을 진행한다.

이후 공격자는 시스템을 탐색하고 정보 수집하면서 피해자의 시스템에 머무른다. 동시에 미미카츠(Mimikatz)와 같은 자격증명 절취 도구를 사용해 시스템을 장악할 권한을 획득한다.

특히 공격자들은 자체 수정한 악성코드 임플란트·원격 액세스 도구(RAT), 오픈소스 도구를 실행(Execution), 내부 확산(Lateral Movement) 및 데이터 유출(Data Exfiltration) 단계마다 활용한다. 또 마이크로소프트(MS) 윈도 바로가기 파일(LNK) 또는 HTML 애플리케이션(HTA) 스크립트 파일이 포함된 ZIP 압축파일(암호설정 옵션)을 피싱 작업시첨부파일로 활용한다.

소프트웨어 최신버전 업데이트 강조 또 강조

한·미·영 보안당국은 주요 인프라 조직에 취약점 패치를 적시에 적용할 것을 권고한다. 아울러 웹쉘로부터 웹 서버를 보호, 악성 활동에 대한 엔드포인트를 모니터링, 인증·원격 접근 보안 강화를 권장한다.

특히 방산·항공우주·핵·엔지니어링 산업과 분야에서 전문성을 갖춘 기관들은 북한 국가 배후 해킹으로부터 자신들의 네트워크를 방어에 있어 경계를 늦추지 말아야 한다고 강조했다.

◎공감언론 뉴시스 [email protected]