북한 해킹조직의 국내 건설과 기계 산업 대상 공격이 급증하고 있는 정황이 포착되고 있다. 이러한 움직임은 북한 당국이 지난 1월 15일 개최한 제14기 제10차 최고인민회의에서 김정은이 ‘지방발전 20×10 정책’을 공식화하고 매년 20개 시·군에 현대화된 공업공장 건설을 추진하도록 한데 기인한다. 북한의 당·군·정은 앞다퉈 정책 관철을 위해 매진하고 있으며, 북한 해킹조직도 이를 지원하기 위해 해킹 활동을 적극 진행하고 있는 것으로 분석되고 있다.

이에 국가정보원·검찰청·경찰청·국군방첩사령부·사이버작전사령부 등 사이버안보 정보공동체(이하 정보공동체)가 북한 해킹조직이 우리나라의 건설·기계 분야를 대상으로 자행한 사이버공격의 위험성을 알리고 피해 예방 및 완화를 위해 ‘합동 사이버 보안권고문’을 지난 5일 배포했다.

정보공동체는 건설·기계 단체 및 지자체 공무원 대상 해킹 공격이 전년 대비 급증한 것을 확인하였으며 북한이 무단 절취한 우리나라의 건설·기계 및 도시건설 분야 자료들을 공업 공장 건설과 지방발전 계획에 사용할 것으로 추정했다.

이 문서는 북한 해킹 활동에 사용된 공격 전략·기술·절차(TTPs) 및 침해지표(IoCs)가 포함됐다. 또한 해킹 주체인 북한 정찰총국 산하 ‘김수키’ 및 ‘안다리엘’ 해킹조직이 같은 시기에 동일한 정책적 목적을 달성하기 위해 특정 분야를 공격한 사례를 소개했다.

김수키, 건설 직능단체 대상 악성코드 대량 유포

2024년 1월 북한 김수키 해킹조직은 우리나라 건설 분야 직능단체 홈페이지에 악성코드를 유포했다. 악성코드는 홈페이지 로그인 시 사용되는 보안인증 SW에 은닉되어 있었으며, 이로 인해 홈페이지에 접속한 지자체, 공공기관, 건설기업의 관련 업무 담당자 PC가 감염됐다.

분석 결과, 정상 배포 채널을 변조한 ‘공급망 공격’과 건설·설계 전문가가 자주 방문하는 홈페이지를 통해 유포하는 ‘워터링홀’이 결합된 공격으로 확인됐다.

김수키 해킹조직은 유효한 디지털 인증서를 사전에 절취해 변조된 SW파일(보안인증 SW)에 서명하고, 정상 보안인증 SW와 함께 유포하는 등 치밀한 준비 작업을 거쳤다. 이 공격은 건설 관련 국가기관·기업들의 접속 빈도가 높은 홈페이지를 유포 경로로 활용했다.

또한 정보절취 악성코드에 GPKI 인증서 절취 기능이 포함돼, 건설 공직자 해킹을 교두보 삼아 주요 건설사업 정보와 사업에 참여한 건설기업의 기술자료 절취를 시도한 것으로 추정됐다.

안다리엘, 취약점 악용해 국내 기계분야 공격

지난 4월 북한 안다리엘 해킹조직은 국내 정보보안 SW(VPN·서버보안)에 대한 취약점을 악용해 업데이트 파일을 악성코드로 교체·실행하는 수법을 사용했다. 이를 통해 건설·기계업체 등에 원격제어 악성코드(DoraRAT)를 유포했다.

공격에 사용된 원격제어 악성코드(DoraRAT)는 파일 업·다운로드, 명령 실행 등 단순하고 경량화된 형태로 만들어졌다. 워터링홀 기법으로 유포하다 보니 노출 가능성이 높아 기존에 고도화된 APT 공격에서 보여진 악성코드(Black RAT9))와 달리 최소한의 기능만 포함됐다.

또한, 국내 보안업체에 따르면 원격제어 악성코드 감염PC에서 대용량·다량의 파일 절취가 가능한 ‘파일절취형 악성코드’도 확인됐다. 정보공동체는 이 악성코드가 파일 용량이 매우 큰 기계·설비 관련 설계도를 C2 서버로 전송하기 위해 설치된 것으로 파악했다.

안다리엘은 이외에도 서버보안 제품에 대한 취약점도 악용한 것으로 확인됐다. 이에 정보공동체는 정보보안제품 등 IT관리 SW 취약점을 노리는 것은 대량 감염이 가능하고, 제품들이 기본적으로 높은 수준의 시스템 접속·관리 권한을 가지기 때문으로 보았다.

권고문에 소개된 북한의 해킹사례는 개인의 부주의 때문에 발생한 문제가 아닌, 홈페이지와 정보보안 SW의 취약점으로 발생했다. 앞으로도 북한 해킹조직은 서비스·제품에 대한 취약점을 지속 노릴 것으로 전망되는 만큼, 조직 구성원과 더불어 조직의 IT·보안 담당자의 피해 완화 노력이 중요하다.

공격 상세 내용, 피해 대응 방법 및 해킹 신고 안내 등 자세한 내용은 국가사이버안보센터 홈페이지에서 확인할 수 있다.