보안컨설팅업체 ‘파이어 아이’ 보고서 공개…별칭은 ‘리퍼(死神)’
-
북한 해커 조직 가운데 한 곳의 이름이 ‘APT37’이며 ‘리퍼(Reaper, 死神)’이라는 별명을 갖고 있는 것으로 드러났다. 이들은 공격 대상과 인터넷으로 직접 연결돼 있지 않아도 목표의 생활습관을 파악해 ‘토렌트’ 등에다 악성코드를 심어 ‘부비트랩’을 쓰듯 사이버 공격을 하기도 했다고 한다.
- ▲ 美보안 컨설팅 업체 '파이어 아이'는 지난 20일(현지시간) 어도비 플래시 프로그램을 공격한 조직 APT37이 북한 해커조직으로 보인다는 분석 보고서를 내놨다. ⓒ美파이어 아이 보고서 개요 캡쳐.
미국의 보안 컨설팅 업체 ‘파이아 아이’는 지난 20일(현지시간) 북한의 해커 조직에 대한 분석 보고서를 공개했다.
美‘파이어 아이’는 이번에 공개한 보고서 개요를 통해 ‘어도비 플래시’의 ‘제로데이 공격’을 시도한 해커를 추적한 결과 북한 사이버 첩보조직 ‘APT37 리퍼’로 의심된다고 밝혔다.
美‘파이어 아이’는 “이번에 분석한 북한 해커 조직은 지난 2일(현지시간) 우리가 이미 공개한 ‘어도비 플래시 제로데이 공격 가능성’을 분석한 내용과 연관이 있다”고 설명했다.
美‘파이어 아이’는 “우리가 APT37의 과거 활동을 분석한 바에 따르면, 이들은 악성코드와 제로데이 보안 취약점을 포함해 다양한 기법으로 정교하고 광범위한 사이버 공격을 해온 것으로 드러났다”며 “우리는 APT37이 이미 언론에도 보도된 ‘스카크루프트’와 ‘123그룹(북한 해커조직)’과 연계돼 있는 것으로 믿고 있으며, 이들이 북한 정권을 대신해 그들의 이익을 얻을 수 있는 목표를 대상으로 사이버 공격을 해온 것으로 확신하고 있다”고 주장했다.
美‘파이어 아이’에 따르면, 북한 해커로 의심되는 APT37은 주로 한국을 공격 목표로 삼았고, 일본, 베트남, 중동 등의 화학·전자·자동차·우주항공·의료 산업 관련 기관도 공격했다고 한다.
-
APT37은 ‘어도비 플래시’ 프로그램의 ‘제로데이 취약점’과 함께 ‘아래 한글’ 파일의 취약점을 주로 노려 공격을 해 왔다고 한다.
- ▲ 2016년 1월 북한인권운동단체인 '겨레얼통일연대'를 목표로 악성코드를 심은 아래 한글 파일이 보낸 일이 있었다. 북한은 아래 한글 파일에다 악성코드를 심어 보내는 사이버 공격을 자주 벌이고 있다. ⓒ겨레얼통일연대 당시 공지사항 캡쳐.
美‘파이어 아이’는 “APT37은 여러 가지 공격을 통합 수행할 수 있는 능력을 보여줬으며 사용하는 악성코드도 다양했고 자신들의 용도에 맞게 고치기도 했다”고 지적, 이들이 동시에 다양한 방식으로 공격할 수도 있다고 경고했다.
APT37은 일단 공격 목표를 정한 뒤 사회공학적으로 분석한 뒤 공격 대상을 더욱 세분화해서 정했으며, 통상적인 방식의 해킹은 물론 공격 대상이 ‘토렌트’와 같은 파일 공유 기술을 사용할 경우에는 여기에다 악성코드를 심어 대상자의 PC가 감염되도록 유도했다고 한다.
APT37은 또한 일단 공격 대상의 PC를 통해 네트워크에 침입한 뒤에는 서버나 메시지 플랫폼, 클라우드 서비스를 차례로 감염시키고, 이후에는 보다 정교한 기법을 사용해 공격 대상의 네트워크 전체를 장악하는 방식을 사용했다고 한다.
美‘파이어 아이’의 보고서는 북한 해커들이 단순한 해킹이나 악성코드를 배포하는 ‘무차별적 사이버 공격’을 하는 게 아니라 한국 사회의 취약점을 사회과학적으로 먼저 분석해 목표를 정하고, 공격 대상의 취향이나 생활습관까지 파악한 뒤에 해킹을 하는 치밀함을 보이고 있음을 알려줬다.
특히 한국 정부 기관이나 지자체, 군, 경찰, 학교, 연구소 등에서 광범위하게 사용하는 ‘아래 한글’ 프로그램과 한국 포털 사이트와 온라인 쇼핑몰, 기타 거래 사이트에서 무분별하게 이용하는 ‘어도비 플래시’ 프로그램을 악용해 사이버 공격을 해왔다는 부분은 주의해야 할 점으로 보인다.
