매월 첫째 목요일, 잇츠맨 X 다온기술의 <시큐언박싱 레터> 발행됩니다.
공유하기웹에서 보기공유하기

북한의 해커가 활개치는 이유 



미국 연방수사국(이하 FBI)는 7월 25일(현지시간) 북한의 림종혁(Rim Jong Hyok)이 캔자스주 연방 지방법원에서 컴퓨터 해킹 및 돈세탁 공모 등의 혐의로 기소돼 체포 영장이 발부 되었다고 밝혔습니다.(그림1) FBI는 왜 림종혁에 대한 체포 영장을 발부했을까요? 우리는 어떤 부분에 관심을 가져야 할까요?
그림1. 림종혁에 대한 FBI 체포 영장

이번이 처음은 아니다

사실 미국의 FBI가 북한 인물, 특히 해킹으로 인한 기소는 처음이 아닙니다. 2018년 FBI는 박진혁에 대해서 워너크라이 랜섬웨어 공격, 소니픽쳐스 해킹, 방글라데시 중앙은행 해킹등 다수의 사이버 범죄의 이유로 체포 영장을 발부 했습니다.(그림2) 그리고 2021년 2월에는 북한 정찰총국 소속 해커 전창혁, 김일, 박광철을 13억 달러 이상의 현금 및 암호화폐를 훔치려 시도한 혐의로 기소하고 체포 영장을 발부했습니다. 이들은 은행 및 암호화폐 거래소를 대상으로 악성 소프트웨어를 유포하고, ATM 현금 인출 공격을 감행하며, 영화 스튜디오 및 소프트웨어 개발 회사를 해킹한 혐의를 받고 있습니다.
그림2. 박진혁에 대한 FBI 체포 영장

북한의 RGB가 사이버 공격을 주도하다

북한은 오랜시간 사이버 부대를 운영하면서 다양한 범죄활동을 통해 첩보 및 수익 활동을 진행하였습니다. 흔히 조선인민군 총참모부정찰총국(이하 RGB)이라고 이야기하는 군사 조직에 기반하여 다양한 공격그룹을 운영하고 있으며 위에서 언급된 인물들은 모두 RGB에 소속된걸로 파악하고 있는 인물들 입니다.(그림3)
그림3. 북한내 사이버 범죄 조직과 국가조직과의 관계도


APT45 그룹 공격에 의한 막대한 피해


특히 이번에 임종혁은 RGB내 APT45(a.k.a 안다리엘, Andariel)로 불리는 공격그룹에 소속되어 미국, 한국등 주로 미국 동맹국의 기업, 정부기관, 방위산업, 의료등 다양한 분야에 사이버 공격을 감행하여 막대한 피해를 일으키고 범죄 수익을 얻은 것으로 확인되고 있습니다. 특히 APT45는 북한 정책당국의 충실한 사이버 투견으로써 지령을 수행 하였는데 2017년 부터는 정부기관과 방위산업, 2019년 부터는 핵관련 분야에 대한 사이버 공격을 수행하였습니다. 이는 북한 정권의 핵 및 에너지에 대한 관심과 일치합니다.


북한 해커, 위장 취업까지 


여기에 더해서 최근에 해외 보안기업의 근로자가 알고 보니 위장 취업한 북한 해커 였다는 사실이 알려지면서 또 다른 위협이 확인되고 있습니다. 실제 해당 위장취업 내용이 처음 언급된건 2024년 4월 경입니다. 구글 클라우드 맨디언트는 2024년 4월부터 5월까지 미국 기업에서 취업을 원하는 북한 IT근로자에게 서비스를 제공하는 중개자에 대한 정보를 파악하고 레포트를 발행했습니다. 이 레포트에서는 북한의 IT근로자가 미국의 경유지를 두고 미국의 기업에 위장 취업하는 사례를 이야기 하고 있습니다. 특히 위장취업을 위해 미국의 중개자의 도움을 받아 다양한 보안 인증절차를 통과하여 취업에 성공한것이 확인되고 있습니다. 더욱이 이러한 사이버 공격에서 AI를 활용하여 이미지를 조작하거나, 언어적인 문제를 극복하는등 다양한 방식으로 AI를 공격에 활용하고 있음이 확인되었습니다.(그림4)

그림4. 북한의 IT근로자의 위장취업 관련 자금 흐름도


심각한 북한의 사이버 공격에 대비해야


흔히 북한의 사이버 공격은 추적이 힘들어서 실체가 확인되지 않다보니 사고 발생에 대한 책임을 회피하기 위한 핑계거리 정도로 생각하지만 이미 많은 사이버 보안 담당자들은 알고 있는 북한의 사이버 위협의 수준은 매우 심각하고 방어 난이도가 높습니다. 특히 최근 북한과 러시아가 밀접한 관계를 맺고 있고 미국의 정치상황이 혼란을 거듭하는 상황, 중동의 이슈가 계속 생산되는 등 여러가지 복합적인 국제 상황들이 발생하고 있는데 북한은 이러한 때를 놓치지 않고 다양한 사이버 위협활동을 통해 수익을 내거나 북한 정권의 목적을 위한 활동을 지속할것으로 예상하고 있습니다.



우리는 이러한 사이버 위협에 맞서서 개별 조직들의 위협 활동들이 우리의 보안 인프라에서 얼마나 방어가 잘 수행되고 있는지 점검하고 부족한 부분에 대한 추가적인 조치를 통해 실제 사고로 번지는 것을 막는 것이 필요할 것 입니다. 대응을 위해서는 기존 인프라의 설정과 방어 수준에 대한 점검도 필요하지만 방어 전략을 세울 수 있는 위협 인텔리전스 정보를 확보하고 전략에 맞는 운영방법과 기술을 적용하는등의 노력이 수반되어야 합니다.



최근 구글 클라우드의 맨디언트는 APT45에 대한 레포트를 발행했습니다. 이와 함께 CISA에서도 AA24-207A 레포트를 통해서 북한의 사이버 그룹에 대한 정보를 공유하며 주의를 당부했습니다. 이러한 내용들을 참고하시어 각 조직의 대응 수준을 점검하는 것이 필요한 때 입니다.


참고자료


  • Google Cloud | APT45: 북한의 디지털 군사 조직 : 참고
  • CISA | North Korea Cyber Group Conducts Global Espionage Campaign to Advance Regime’s Military and Nuclear Programs : 참고
  • FBI Most wanted “RIM JONG HYOK”:  참고
  • FBI Most Wnated “PARK JIN HYOK”: 참고
  • DOJ | Rewards for Justice : 참고 
  • Google Threat Intellignece | Suspected DPRK IT Workers Leverage Services of Facilitators to Seek Employment at U.S. Company : 링크 
  • DOJ | Charges and Seizures Brought in Fraud Scheme, Aimed at Denying Revenue for Workers Associated with North Korea: 링크 

#1 Crowdstrike 사태의 교훈


사건 발생 및 초기 대응
  • 2024년 7월 19일 UTC 기준 4시 9분, Crowdstrike의 Falcon Sensor 업데이트가 배포되면서 문제가 시작됨.
  • 일부 Windows 시스템에서 블루스크린(BSOD) 발생.
  • 약 1시간 18분 후, 5시 27분에 업데이트 중단 및 Tech Alert 발행.
  • MS 추산 약 850만 대가 영향을 받았으며, 이는 전체 Windows 시스템의 1%에 해당.
  • 글로벌 항공, 물류, 뱅킹 등에서 시스템 중단 이슈 발생.
  • 7월 24일 오전 0시 기준, 97%의 Windows 시스템이 온라인 상태로 복구됨.

사고 원인
  • 업데이트된 채널 파일의 논리적 버그로 인해 BSOD 발생.
  • 신속한 업데이트를 위해 배포된 “Rapid Response Content” 채널 파일(291 파일)에 버그 포함.
  • 해당 파일은 WHQL 인증 대상이 아니어서 오류가 걸러지지 않음.
  • QA 과정의 스트레스 테스트에서 버그가 검출되지 않고 배포됨.

피해 확산 이유
  • 클라우드 서비스에 구동되던 Windows 시스템들이 직접적인 영향을 받음.
  • 많은 기업에서 Windows 시스템을 주로 사용하고 있어 피해가 컸음.
  • 업데이트가 일괄적으로 이루어져 문제가 크게 확산됨.

2차 피해 가능성
  • Crowdstrike 사태를 이용한 사이버 공격이 계속되고 있음.
  • 악성코드 배포 및 피싱 메일 발송 등의 공격이 지속됨.
  • 크라우드스트라이크를 사용하지 않는 고객들도 주의가 필요함.

대응 방안
  • 문제 예방을 위한 제조사들의 노력이 필요함.
  • 문제 발생 시 빠른 대응과 복구를 위한 사용자와 제조사의 노력 필요.
  • 크라우드스트라이크는 강화된 QA 제공 및 점진적 배포 단계 도입 예정.
  • 투명한 정보 공개를 통해 불안감 해소 및 문제 해결이 중요함.
  • 변화하는 인프라 환경에 대한 관리와 복구 방안에 대한 고민 필요.

#2 왜 사이버 보안 기업들의 M&A가 많아지나?


사이버 보안 M&A의 중요성
  • 최근 글로벌 M&A 시장에서 사이버 보안 기업의 M&A가 활발하게 이루어짐.
  • 구글의 위즈 인수 시도 등 대형 M&A 사례가 증가.
  • 사이버 보안 시장의 변화와 다변화에 대응하기 위해 관심이 필요함.

주요 사례
  • 구글의 맨디언트 인수 (2022년): 구글 역사상 두 번째로 큰 규모의 인수합병으로, 맨디언트는 FireEye를 STG에 매각 후 구글에 인수됨.
  • CISCO의 Splunk 인수 (2023년): 280억 달러의 대형 인수로, CISCO의 보안 시장 확장을 위한 중요한 인수 합병.
  • 팔로알토네트웍스의 IBM Qradar SaaS 부문 인수: 팔로알토네트웍스가 Qradar SaaS를 인수하여 전략적 협력 관계를 구축.

M&A 트렌드 분석
  • 2019년부터 2022년까지 사이버 보안 시장의 M&A 규모가 꾸준히 증가.
  • 2024년에는 전년 동기간 대비 13.6% 증가하며 거래가 활발하게 이루어짐.
  • 10억 달러 이상의 대형 거래도 2021년 이후 최고치를 기록.

M&A의 배경과 이유
  • 플랫폼화: 복잡해지는 사이버 위협을 효과적으로 대응하기 위해 플랫폼 통합이 필요.
  • AI 도입: 사이버 보안 인력 부족 문제를 해결하기 위해 AI를 활용한 보안 솔루션 개발 및 적용이 트렌드로 자리잡음.

미래 대응 방안
  • 변화하는 환경에 대한 지속적인 모니터링과 대응 필요.
  • AI와 자동화의 도입으로 인한 관리 오너십, 담당자의 역할과 책임, 인사이트 능력 유지 필요.
  • 보안 인프라와 서비스의 변화에 유연하게 적응하고 대응하는 자세가 중요함.

🔹 CrowdStrike IT 대란, 항공사와 은행   세계 비즈니스 중단. 국내 피해도...

CrowdStrike의 팔콘 센서 소프트웨어 업데이트 결함으로 인해 다수의 윈도우 기기가 

부팅 시 BSOD 발생시켜 주요 시스템들이 작동을 멈췄습니다. 이로 인해 전 세계 

여러 산업이 심각한 혼란을 겪었으며 피해 규모는 약 1조 4천억 원 이상으로 추산

됩니다. 현재, 2차 해킹 피해에 대한 우려도 제기되고 있는 상황. 국내 피해 상황은 

어떨까요?


🔹 AT&T 데이터 유출: 1  고객의 전화번호와 통화 기록 탈취

미국의 통신사 AT&T에서 데이터를 보관하는 제3자 클라우드에 사이버 공격이 발생

하여 1억 명이 넘는 고객의 통화와 메시지 기록이 탈취되는 사고가 일어났습니다. 

이는 처음이 아니기 때문에 고객들의 불안감이 상당할 것으로 보입니다.


🔹 2024 파리 올림픽 공식 파트너의 66% 도메인 사칭 보호 미비

 2024년 파리 올림픽 공식 파트너 기업들 중 3분의 2가 필수 보안 정책이 미비하다는 

사실이 발표되었습니다. 이는 사기성 이메일을 미리 차단하지 못해 일반인들이 피해를 

입을 수 있다는 것을 의미합니다.


🔹 북한 해커, 가짜 구인 공고로 BeaverTail 악성코드 전파 : MacOS 사용자 주의

 북한의 라자루스 해커 그룹이 BeaverTail 악성코드를 업그레이드하고, 사회 공학 

기법을 이용해 악성코드를 배포하고 있습니다. 특히 MacOS 사용자들의 주의가 

필요합니다.


🔹 이란 사이버 스파이 조직 머디워터, 새로운 악성코드 버그슬립 배포

 이란 사이버 스파이 조직 머디워터가 새로운 악성코드 버그슬립을 추가했습니다. 

이는 웨비나나 온라인 강의 초대장으로 가장한 피싱 이메일로 배포됩니다. 

기업에서는 MFA 적용 및 안티 멀웨어, 안티 바이러스 솔루션을 활성화하여 최신 

상태를 유지하는 것이 중요합니다.
  • 일시 : 8월 30일(금) 오후 2시-3시
  • 내용 : 미 대선 결과에 따른 사이버보안의 환경변화
(주) 채널온티비 help@chontv.com
서울특별시 강남구 신사동 593-10, 지하 1층 / 02-6949-4298