북한 정권이 요즘에는 미국의 의료 산업을 노리고 랜섬웨어 공격을 실시한다는 보고서가 미국과 한국으로부터 나왔다. 나라가 나서서 돈을 대놓고 훔치는 건 그리 흔치 않은 일이다. 부끄러운 건 아는지 자신들의 행위를 감추려는 노력이 제일 눈에 띈다.

[보안뉴스 문가용 기자] 미국의 헬스케어 및 보건 분야가 최근 북한 사이버 공격 단체들의 집중 공격을 받고 있다고 한다. 공격자들의 목적은 돈인 것으로 미국 보안 전담 기관인 CSIA, FBI, 한국 첩보 기관들은 분석하고 있다. 두 나라의 관련 기관들은 2월 9일 합동 권고문을 통해 “북한 공격자들이 의료 시설들을 협박해 암호화폐를 받아내고, 이를 가지고 다른 사이버 정찰 행위와 무기 개발을 지원하고 있다”고 경고했다.

[보안뉴스 / 2.14.] 정권 전체가 도둑질에 나선 북한의 새로운 자금줄, 미국의 의료 산업

[이미지 = utoimage]

국가가 지원하는 랜섬웨어 공격
“북한의 사이버 공격자들은 북한 정권이 추진하는 사업들을 지원하기 위해 공격을 감행해 예산을 마련한다”는 보안 권고문에는 “의료 시설들에 랜섬웨어 공격이 들어왔을 때 돈을 지불하지 말라”는 내용이 포함되어 있다. “돈을 낸다고 해서 파일이나 디스크가 정상적으로 복구되는 것도 아니고, 오히려 돈을 내는 행위가 제재 위반으로 판단될 수 있어 오히려 더 큰 불이익을 받을 수 있습니다.”

하지만 이번 권고문이 북한 해커들의 새로운 공격 캠페인이 발견되었기 때문에 작성된 것인지, 다가오는 공격에 대한 경고를 하기 위해 작성된 것인지는 분명하지 않다. 참고로 올해 초 미국의사저널협회에서는 2016년부터 2021년 사이에 의료 시설들을 노린 랜섬웨어 공격이 2배 증가했다고 발표했었다. 이 기간 동안 발견된 랜섬웨어 사건은 총 374건이며, 이중 44%가 심각한 의료 서비스의 중단을 초래했다고 한다. 이런 경우 수술이나 진료가 어려워지고, 앰뷸런스가 제대로 된 경로로 운행되지 않게 됐다.

2022년 6월 보안 업체 소포스(Sophos)는 2021년 의료 기관들 중 66%가 최소 한 번 이상의 랜섬웨어 공격을 경험한 바 있다고 발표했었다. 이 중 61%의 경우, 공격자들이 데이터 암호화에 성공했고 돈을 요구한 것으로 분석됐다. “의료 기관들은 공격의 양과 복잡성이라는 측면에서 각각 69%와 67%의 증가율을 기록했습니다. 산업 전체 평균이 각각 57%와 59%라는 것을 감안하면 상황이 심각하다는 걸 알 수 있죠.”

새로운 첩보, 새로운 전략
CISA를 비롯해 여러 기관들이 함께 발표한 이번 북한 랜섬웨어 관련 권고문에는 북한 해커들이 사용하는 각종 전략과 기술, 공격 절차가 여러 가지로 소개되어 있다. 하지만 전반적으로는 일반 랜섬웨어 단체들의 그것과 크게 다르지 않은 것으로 보인다. 특히 침투한 네트워크 내에서 횡적으로 움직여 자산을 꼼꼼하게 찾아낸 뒤 랜섬웨어 공격을 실행해 피해를 최대화 하는 점에서는 일반 랜섬웨어 공격자들과 다를 게 없다.

그 외에도 북한의 공격자들이 활용하는 랜섬웨어 도구들과, 그 도구들의 침해지표도 같이 공유됐다. 북한 공격자들이 직접 개발한 것으로 보이는 마우이(Maui)와 홀리고스트(H0lyGh0st) 등을 비롯해, 돈을 주고 구매할 수 있는 암호화 도구인 비트락커(BitLocker), 데드볼트(Deadbolt), 족소(Jogsaw), 히든티어(Hidden Tear) 등이 지목됐다. “공개된 도구들을 사용할 때 북한 해커들은 다른 랜섬웨어 조직으로 가장할 수 있게 됩니다. 실제 그렇게 했고요.”

또한 북한의 해커들은 가짜 도메인, 가상의 인물, 가짜 계정들을 자주 만들어 자신들의 행위를 감추는 것으로 분석되기도 했다. “북한의 사이버 공격자들은 VPN과 VPS 서비스, 서드파티 IP 주소도 즐겨 활용합니다. 북한과 전혀 상관이 없는 곳에서 공격이 시작된 것처럼 보이게 하기 위해서입니다. 북한 정권은 자신들의 악행이 드러나는 걸 극도로 꺼려하는 듯한 모습입니다.”

북한 공격자들이 즐겨 익스플로잇 하는 취약점 정보도 이번 권고문에 포함되어 있었다. 그 중 눈에 띄는 건 로그4셸(Log4shell) 취약점이다. 로그4셸은 로그4j(Log4j) 프레임워크에서 발견된 취약점인 CVE-2021-44228로, 로그4j라는 것이 현대 인프라 구석구석 너무나 만연하게 퍼져 있기 때문에 전부 찾아서 패치하는 데에 수년이 걸릴 것이라는 전망이 나오고 있다. 그 외에 소닉월(SonicWall)의 보안 장비에서 발견된 취약점들도 북한 공격자들이 자주 익스플로잇 하는 것으로 나타났다.

이러한 공격에 대비하기 위해서 CISA는 다음과 같은 조치 사항들을 권장하고 있다.
1) 강력한 인증 및 접근 제어 기술과 정책 도입
2) 최소한의 권한만을 부여
3) 데이터 암호화와 데이터 마스킹 기술 도입
4) 건강 정보의 수집, 저장, 처리 과정에서 정보 보호 기술 도입
5) 네트워크와 분리된 저장소에 데이터 백업
6) 사건 대응 계획 수립 및 훈련
7) OS와 애플리케이션의 최신화
8) 원격 데스크톱 프로토콜 모니터링

3줄 요약
1. 최근 북한 해커들의 관심사는 미국 의료 산업.
2. 의료 산업에 랜섬웨어 공격 가해 돈을 뜯어낸 후 국방 활동에 사용.
3. 국가가 기획하고 지원하는 랜섬웨어 공격, 북한은 정체 밝혀지는 것 극도로 꺼려.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>