북한, 국내 언론사 홈피 ‘워터링홀’ 공격 기승

“사자가 물웅덩이 주변 먹잇감 사냥하듯, 다수 방문자 감염” ‘김수키’, ‘라자루스’, ‘APT37’ 등 사이버 해커 집단 앞장 최근 “‘보안 소프트웨어 제로데이 취약점 공격 수법으로 전환”

2023-08-21     김향자 기자
(사진=어도비 스톡) 

[애플경제 김향자 기자] 2023년 들어 국내에서 일어난 사이버공격의 다수는 종전과는 달리 보안 소프트웨어의 제로데이 취약점을 공격하는 수법으로 급속히 옮겨가고 있다. 특히 북한의 ‘김수키’, ‘라자루스’ 등의 해킹 집단에 의한 제로데이 취약점 혹은 언론사 홈페이지를 악용한 ‘워터링홀’ 공격이 갈수록 기승을 부리고 있는 것으로 나타났다.

종전 ‘Active Directory’ 환경 악성코드 수법보다 많아

종전엔 기업의 ‘Active Directory’ 환경의 중앙 관리 솔루션을 장악한 후 악성코드를 내부에 유포하는 기법이 다수를 점했다. 한국인터넷진흥원은 21일 발표한 ‘2023년 상반기 사이버 공격 추세’ 보고서를 통해 “그러나 2023년 들어서는 보안 소프트웨어의 제로데이 취약점을 악용한 것으로 변화했다.”면서 “특히 사용자들의 방문이 잦은 언론사 홈페이지 등을 악용한 북한 해킹그룹의 공격이 꾸준히 이어지고 있다”고 경고했다.

맨디언트, 레코디드 퓨처 연구팀 ‘인식트 그룹(Insikt Group)’ 등의 자료를 인용, 분석한 보고서에 따르면 2023년 상반기에는 특히 ‘라자루스’ 그룹이 제로데이 취약점을 이용하여 공격을 시도하는 정황이 새롭게 확인됐다.

특기할 점은 ‘라자루스’의 국내 언론 사이트에 대한 집중 공격이다. 진흥원에 따르면 이 그룹은 주로 언론사의 기사 페이지에 악성 스크립트를 삽입, ‘워터링홀’ 페이지로 악용했다. 마치 사자가 물웅덩이 주변에 숨어있다가 물을 마시러 오는 먹잇감을 사냥하듯, 언론사 홈페이지를 방문하는 수많은 사용자들을 동시다발적으로 감염시키는 수법이다.

‘라자루스’는 해당 언론사 페이지에 사용자들이 접속할 경우 이들의 보안 소프트웨어 취약점을 통해 악성코드를 설치하는 수법을 구사하고 있다.

특히 공격자는 이 과정에서 보안 솔루션 개발업체의 소스코드를 탈취, 취약점 코드를 개발한 것으로 드러났다. “워터링홀 공격을 위해 언론사 사이트를 이용하고, 명령제어지 구축을 위해 호스팅 업체를 악용하는 등 국내 인프라를 이용한 공격 범위 확장을 지속하고 있다.”는 설명이다.

북한 해커의 언론사 워터링홀 공격 수법.  (자료=한국인터넷진흥원)

‘라자루스’, SW개발사 소스코드 탈취하기도

진흥원은 “라자루스 그룹은 보안 소프트웨어 개발사의 소스코드를 탈취한 전적이 있으며, 해당 보안 소프트웨어의 제로데이 취약점을 악용한 공격이 이번 오퍼레이션으로 드러났다.”면서 “공격자는 탈취한 소스코드를 분석하여 취약점을 공격하는 코드를 제작하고 연이어 다른 개발사를 공격하는 등 추가적인 공격도구를 준비하는 모습을 보인다.”고 주의를 당부했다.

이번에 드러난 것 중 특히 눈길을 끄는 것은 취약점을 악용하는 워터링홀 공격에 특정 언론사 홈페이지가 악용된 점이다.

해당 언론사의 단독 보도 확인 등을 위해 타 언론사 기자들이나 공공기관 혹은 정부 관계자들이 이곳 홈페이지를 모니터링하기도 한다. 따라서, 하나의 언론사가 감염되었을 경우 모니터링하는 언론사도 사고가 전이되는 등 감염이 연쇄적으로 확산될 수 있다.

이는 특정 현안에 대한 기사를 주변 사람들과 공유하곤 하는 일상적 습관을 악용한 것이어서, 특히 그 부정적 파급효과가 크다. 즉, “워터링홀로 악용되는 언론사의 기사가 공유될 경우 보안 소프트웨어의 취약점이 발현되어 피해가 확산될 수 있다”는 것이다.

최근 가장 활발한 해킹집단은 ‘김수키’

금년 들어 사이버공격 활동이 가장 많이 보고된 북한 해킹 조직은 ‘김수키’로 알려져있다. 이는 북한 소행의 해킹 전체의 37%를 차지하고 있으며, ‘라자루스’, ‘APT37’ 등이 뒤를 잇고 있다.

북한 해킹 조직 가운데 가장 활발한 활동을 보이는 ‘김수키’는 아시아, 특히 한국에서 주로 정부와 비정부 기구를 대상으로 사이버 공격을 벌이고 있다. 이에 비해 ‘라자루스’는 다양한 표적을 대상으로 활동하지만 암호화폐와 기존 금융기관에 다소 집중하는 것으로 분석되고 있다.

북한 해킹 집단. (자료=리코디드퓨터, 한국인터넷진흥원)

한편 국내 사이버 공격의 핵심 수법은 ‘SMB/Admin Share’를 이용한 내부 전파(Lateral Movement)로 파악되고 있다. 진흥원 분석에 따르면 윈도우의 SMB/Admin Share 기능은 많은 기업에서 서버 간 자료 공유의 편의성을 추구하거나, Active Directory 환경에서의 정책 배포를 위해 사용하는 기능이다.

그러나 “이 기능을 잘못 사용하였을 경우 보안상 큰 문제가 발생할 수 있다.”는 지적이다.

즉, 대부분의 침해사고 대응은 랜섬웨어 감염으로 파일이 암호화되거나, 정보가 유출되어 해커로부터 협박을 당하는 등 임팩트(Impact) 단계에서 침해사고를 인지한 후 비로소 시작된다. 반면에 “방어자가 침해 사실을 인지할 수 없도록 공격자가 감염 상태만 지속 유지한다면, 공격자는 오랫동안 기업 내부에 잠복할 수 있으며, 내부 정보를 지속적으로 탈취할 수도 있다”는 것이다.