킴수키가 배후에 있는 것으로 보이는 북한발 공격이 발견됐다. 탐지를 어떻게든 피하고자 했던 공격자들의 의도가 생생히 드러난다. 네트워크 탐지 도구로만은 이들을 막을 수 없다고 한다.

[보안뉴스 문가용 기자] 북한의 해킹 그룹인 킴수키(Kimsuky)가 무려 8단계로 구성된 다단계 공격을 구사하여 한국 단체들을 공략하고 있다는 소식이 해외에서 날아들었다. 킴수키가 진행하고 있는 공격 캠페인의 이름은 딥고수(DEEP#GOSU)라고 한다. 이들의 악성 행위에 대하여 보안 업체 시큐로닉스(Securonix)가 조사해 발표했다.

북한의 킴수키, 공격을 단계별로 쪼개는 전법 활용해 한국 단체들 노려

[이미지 = gettyimagesbank]

다단계로 구성된 공격을 실시하는 건 요즘 해커들 사이에서는 그리 대단한 일이 아니다. 하지만 일반적으로는 많아 봐야 5단계 이하로 공격 체인을 구성하는 게 보통이다. 시큐로닉스의 부회장인 올렉 콜레스니코프(Oleg Kolesnikov)는 “이렇게까지 공격 체인을 길게 늘어트리는 건 탐지되지 않기 위해서”라고 말한다.

“공격 체인이 긴만큼 다양한 요소들과 페이로드들이 연류됩니다. 각 단계의 페이로드들은 잘 탐지되는 것도 있고 그렇지 않은 것도 있는 등 다양합니다. 하지만 잘 발견되니 마니 하는 것은 이번 캠페인과 크게 상관이 없습니다. 공격자들이 보안 도구들을 무력화시키거나 프로세스에 페이로드를 은밀히 주입하는 등 탐지가 되지 않는 방법들을 동원하기 때문입니다. 탐지 회피에 얼마나 많은 노력을 기울였는지를 알 수 있습니다.”

킴수키는 APT43이나 에머랄드슬리트(Emerald Sleet), 벨벳천리마(Velvet Chollima) 등의 이름으로도 알려진 해킹 단체로, 2023년 매우 활발하게 활동했다. 스피어피싱을 능숙하게 구사하는 것으로 유명하지만 전체적으로 고도의 기술력을 가지고 있는 것으로 보이지는 않았다. 그러다가 이번에 8단계의 공격 체인이 발견된 것으로 시큐로닉스는 “킴수키가 그 동안 알려져 왔던 것보다 크게 발전한 것으로 보인다”고 평가한다.

“이번 캠페인에 활용되는 페이로드들은 윈도 환경에서 대부분 조용히, 발각되지 않은 채 공격자들이 원하는 것들을 실행합니다. 공격자들의 페이로드 활용 능력이 크게 업그레이드 됐음을 엿볼 수 있습니다. 특히 네트워크 모니터링 기술들은 이 딥고수 캠페인을 잘 막지 못하는 것으로 나타났습니다. 공격의 각 단계는 AES로 암호화 되어 있으며, 비밀번호까지 설정되어 있습니다. 이 때문에 단순 파일 및 네트워크 모니터링 기술로는 알아챌 수가 없습니다.”

드롭박스와 구글 클라우드까지 활용
공격의 첫 단계는 스피어피싱 메일이다. 여기에는 LNK 파일이 하나 첨부되어 있다. LNK 파일이지만 PDF처럼 보인다. 피해자가 문건인 줄 알고 열면 파워셸 코드가 하나 다운로드 되는데, 출처는 드롭박스다. 이 파워셸 코드가 실행되면서 두 번째 단계 공격이 시작된다. 여기서는 드롭박스에 저장되어 있던 또 다른 스크립트들이 추가로 다운로드 된다. 그 다음으로는 텃클라이언트(TutClient)라는 원격 접근 트로이목마가 설치되는데, 이것이 3단계다.

이렇게 인기 높은 클라우드 서비스를 여러 번 이용하는 건 탐지를 효과적으로 회피하기 위해서라고 시큐로닉스는 설명한다. “모든 C&C 통신이 드롭박스 같은 정상 서비스들을 거치니 적어도 네트워크 모니터링 도구로는 비정상임을 탐지하기가 어렵습니다. 아니, 오리혀 정상 트래픽과 똑같아 보이죠. 이런 식으로 페이로드들을 가져다 심으니 탐지도 되지 않을 뿐더러, 공격자가 페이로드를 업데이트 하는 등 관리하기도 쉬워집니다.”

그 다음 4단계에서는 무작위로 실행되는 스크립트 하나가 설치된다. 수시간에 한 번씩 주기 없이 실행되어 공격자가 피해자의 시스템을 모니터링 하고 제어할 수 있게 해 준다. 그런 다음에는 키스트로크를 로깅하고, 그 정보를 공격자에게 보내는 행위를 이어간다. 그런 행위들이 8단계까지 반복되고 이어진다.

다단계 공격은 다단계 방어로 대처
위에서 언급했지만 페이로드 자체만으로 보면 탐지가 잘 되는 것(45%)도 있지만 잘 되지 않는 것(5%)도 있다. 문제는 그 페이로드를 유포하고 심는 방법이 교묘하다는 것이다. 그리고 여러 단계에 걸쳐 교묘히 나눠져 있기 때문에 탐지가 대단히 어렵다. 시큐로닉스는 “네트워크 탐지 도구에 대한 의존도가 높은 조직이라면 이 공격을 미리 파악해 방어하는 게 쉽지 않을 것”이라고 경고한다.

콜레스니코프는 “캠페인을 쪼개면 쪼갤수록 발각될 확률이 낮아진다는 건 이제 모두가 아는 상식”이라며 “앞으로 이를 이용해 더 잘게 공격을 쪼개는 시도들이 늘어날 것”이라고 예측한다. “원래 APT들이 한 번 트렌드를 선도하면 나머지 사이버 범죄자들이 그것을 쫓아갑니다. 다단계 공격이라는 것도 원래 APT들의 전유물 같은 거였습니다만 이제는 모두가 하고 있죠. 4~5단계에 걸친 유행이 이런 8단계 캠페인을 거쳐 바뀔 가능성이 낮지 않습니다.”

그렇기 때문에 시큐로닉스는 다단계 방어 장치를 마련해야 한다고 주장한다. “네트워크 모니터링 장치들도 당연히 유지해야 합니다만 페이로드 스캔 도구, 취약점 탐지 도구, 이메일 첨부파일 검사 도구 등을 다양하게 갖추는 게 좋습니다. 이메일 보안 도구의 경우 이번 캠페인을 무력화시킬 가능성이 높습니다. 왜냐하면 킴수키가 첨부하는 파일이 2.2MB라는, 꽤나 큰 용량을 자랑하기 때문입니다.”

3줄 요약
1. 북한의 킴수키, 8단계에 걸친 공격으로 한국 단체들 노리기 시작.
2. 사용되는 페이로드와 공격 도구 다양한데, 탐지 되지 않게끔 활용하고 있음.
3. 네트워크 탐지 도구만으로는 이들을 막을 수 없음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>