보안정보
전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.
해킹 그룹, 넌 누구냐?
2022.05.04
20,973
01. 개요
디지털 전환과 함께 지능적인 사이버 공격이 빠르게 증가하고 있다. 그 배후에는 주요 기업과 국가, 유명 사회인사들을 대상으로 지속적이고 고도화된 공격(Advanced Persistent Threat, APT)을 감행하는 해킹 그룹이 존재한다. 이들의 공격 목적은 다양하다. 금전적 이득을 획득하거나, 그들의 신념을 강력하게 전파하거나, 또는 사회적 혼란을 야기하기 위해. 때로는 특정 국가에 대한 사이버 간첩 행위를 수행하고자 국가의 지원을 받으면서 활동을 하기도 한다.
컴퓨터월드 UK(Computerworld UK)에 따르면, 해킹 그룹들은 공통적으로 비공개된 커스터마이징 도구를 활용하고 있으며, 고유의 명령 및 제어 인프라를 운영하고 있다. 고도화된 공격 전술과 기술, 방법을 토대로 자신의 위치와 정체를 숨기고, 저지른 범죄를 또 다른 해킹 그룹에 뒤집어 씌우기도 한다. 해킹 그룹들은 어둠 속에서 은밀히 활동하고 있지만, 사이버 보안 전문가들의 노력에 힘입어 일부 정보는 밝혀져 있다. 이를 토대로 악명 높은 해커 그룹들에 대해 알아보는 시간을 갖고자 한다.
02. ‘간나 세끼야 날레 정보를 달라우’ - 북한 해킹 그룹
먼저 필요에 따라 사이버 부대를 유연하게 구성할 수 있고 사이버 첩보전 및 테러 수행, 해커 양성에서 세계 최고 수준에 도달했다고 평가받는 북한의 해킹 그룹에 대해 알아보도록 하자. 북한은 해킹을 통해 북한에 영향을 미칠 수 있는 전략적 정보를 수집하는 것은 물론 국가적 차원의 돈벌이를 하고 있는 것으로 알려져 있다.
우선 북한의 대표적인 해킹 그룹으로 북한과 연계된 것으로 의심되는 대부분의 사고에 등장하는 ‘라자루스 (Lazarus)’를 꼽을 수 있다. 라자루스는 2009년 한국 정부와 군의 PC에서 ‘미군’, ‘키리졸브 훈련’, ‘합참’ 등의 용어 검색을 통해 군사 기밀을 획득한 ‘트로이 작전(Operation Troy)’을 시작으로 그 존재감을 드러냈다. 2020년에는 보잉 등 주요 기업의 채용 공고로 위장한 스피어피싱 공격인 ‘드림잡 작전(Operation Dream Job)’을 통해 전세계 수십 곳의 항공·방위 기업·기관에 침투하는 데 성공했다.
라자루스는 기밀 정보 수집과 더불어 금전 수익 목적의 공격도 병행하고 있다. 2016년 발생한 방글라데시 중앙은행 해킹 사고는 라자루스의 하위 그룹인 ‘블루노르프(Bluenoroff)’의 소행으로 추정된다. 특히 최근 몇 년 동안은 암호화폐 투자 기업과 거래소를 공격해 북한이 통제하는 주소로 자금을 빼돌리는 공격에 집중했다. 유엔(UN) 안전보장이사회는 작년 싱가포르 암호화폐 거래소 쿠코인(Ku Coin)에서 2억 8100만 달러(3,364억 원)가 유출된 사고의 배후로 라자루스를 지목했다.
2017년에는 사상 최악의 랜섬웨어로 불리는 ‘워너크라이(WannaCry)’ 공격을 감행했다. 사용자가 악성코드가 심어진 웹사이트를 방문하거나 이메일 내 악성 첨부 파일을 실행하도록 유도하는 기존의 랜섬웨어 공격과는 달랐다. 전 세계적으로 점유율이 높은 MS 윈도 SMB 포트의 원격 코드 실행 취약점을 활용함으로써, 인터넷에 연결되어 있는 불특정 다수의 PC와 구형 OS를 사용하는 서버를 성공적으로 공격할 수 있었다.
하지만, 이 모든 공격이 ‘라자루스’의 소행일까? 보안 인텔리전스 기업 맨디언트(Mandiant)는 “북한의 해킹 그룹을 지칭하는 포괄적인 용어이자 북한 정찰총국 내에서 수행되는 사이버 작전으로 ‘라자루스’를 이해해야 한다”라고 설명한다. 북한이 저지른 것으로 의심되는 공격들의 전술, 기술, 절차(Tactics, Techniques, Procedures, TTPs), 공격 인프라, 멀웨어 등 간에 중복되는 부분이 많다는 점은 공격 행위자 사이 공유되는 리소스가 있다는 것으로 풀이될 수 있다는 얘기다.
맨디언트는 북한 제1의 해외첩보국인 정찰총국(RGB)이 거의 대부분의 사이버전을 총괄하고 있고, 경찰총국 제3국 산하 ‘110 연구소(Lab 110)’는 해킹 그룹 ‘APT38’, ‘템프허밋(TEMP.Hermit)’, 그리고 ‘안다리엘(Andariel)’을 통제하고 있다고 분석했다. 그리고 이 해킹 그룹들 모두가 여러 면에서 라자루스와 밀접히 연관되어 있다고 보았다.
템프허밋은 전 세계 국방, 통신, 금융 기관을 주요 타깃으로 삼고 북한을 위한 전략적인 정보를 수집한다. APT38은 사회공학적 기법을 사용해 주요 금융 기관에 침투한 뒤 은행 간 통신 시스템을 파악해 수천만 달러를 빼돌리는 것으로 잘 알려져 있다. 악마의 이름을 의미하는 안다리엘은 국방 인사, 방위산업체, 정치 기구, 에너지 연구소 등을 주로 공격하여 왔으며, 최근에는 정부를 위한 수익 확보 차원에서 암호화폐 거래소, ATM 기기, 도박게임 사이트 등도 활발히 공격하고 있는 것으로 나타났다.
그 외에도 2014년 한수원 해킹 사건의 배후로 잘 알려진 ‘김수키(Kimsuky)’는 북한에 영향을 미칠 수 있는 전략적 정보를 수집하는 데 집중하는 것으로 알려져 있다. 이들은 한국·일본·미국의 정부·군·제조업계 담당자와 학계 전문가를 주요 타깃으로 삼고 있다. 타깃의 금융, 개인, 고객 데이터 수집부터 시작해 궁극적으로 국가 안보, 외교 정책, 학술 정보 등의 정보를 획득하는 것이 그들의 최종 목표다. 북한 국가안보부가 지원하는 비밀정보 조직 ‘APT37’ 역시 김수키 그룹과 유사한 활동을 벌이고 있다.
03. ‘상향 평준화된 해킹 실력 가졌다스키’ - 러시아 해킹 그룹
러시아 해킹 그룹 역시 북한에 맞먹는 뛰어난 역량을 갖춘 것으로 유명하다. 러시아는 소련 국가보안위원회 (KGB)의 후신인 연방보안국(FSB)에 사이버전 전담 부서를 두고, 사이버 무기 개발과 전문가 양성에 힘을 쏟고 있는 것으로 알려져 있다. 일각에서는 러시아 입장에서 한국 공격 시 얻을 수 있는 전략적 이익이 많지 않은 까닭에 한국을 노린 공격이 많지 않은 것은 사실이나, 러시아의 해킹 능력은 북한보다 훨씬 더 뛰어나다는 평가도 내리고 있다.
먼저 러시아 국내정보국(FSB)과 대외정보국(SVR) 모두의 지시를 받는 ‘코지 베어(Cozy Bear, APT29)’와 ‘팬시 베어(Fancy Bear, APT28)’의 활동이 눈에 띈다. 그들은 2016년 미국 대선에 개입한 것으로 잘 알려져 있다. 미 민주당 전국위원회(DNC) 서버에 침투해 당시 민주당 진영과 힐러리 클린턴 캠프가 주고받은 민감한 내용의 이메일을 공개한 것이다. 팬시 베어는 2008년 대선 당시 사용된 이메일 주소에 대한 스피어피싱 공격을 시작해 민주당원들의 최신 연락처를 확보하고, 이를 통해 최고위 당직자의 비공개 이메일 계정에 대한 스피어피싱 공격에 돌입했던 것으로 나타났다.
특히 팬시 베어는 미국과 유럽을 주요 표적으로 삼고, 정부와 군 관련 기관, 정치계, 방산업체, 에너지 기업, 유통 기업, 미디어 등을 노린 전방위적인 공격을 펼치고 있는 것으로 알려져 있다. 작년 7월 미국 국가안보국(NSA)과 영국의 국가사이버보안센터(NCSC)는 APT28와 동일 그룹인 러시아 정보기관 정찰총국(RRU) 내 특수조직 ‘GTsSS’가 2019년 중반부터 2021년 초까지 쿠버네티스 클러스터를 통해 전 미국과 글로벌 조직을 대상으로 무차별 대입 공격을 수행했다며 이에 대한 경고문을 발표한 바 있다.
작년 초 정권이 막 바뀐 미국 사회를 크게 뒤흔들었던 ‘솔라윈즈(SolarWinds)’ 사태 역시 러시아 해킹 그룹이 배후에 있는 것으로 알려져 있다. 이 해킹 그룹은 솔라윈즈 서버에 백도어 기능을 가진 악성코드를 설치하고, 솔라윈즈 솔루션을 사용하는 1만 8천여 개 회사들이 업데이트를 하는 과정에서 악성코드를 유포했다. 미 재무부, 국무부, 국토안보부, 핵무기를 담당하고 있는 에너지부와 국가핵안보실(NNSA)까지 미국의 피해는 그 어느 국가보다 컸다. 미 바이든 대통령은 러시아 대외정보국(SVR)의 지시를 받는 해킹 그룹 ‘노벨륨(Nobelium)’의 소행임을 공식 발표하고, 보복 차원에서 러시아 외교관을 추방했다.
예외적으로 2018년 한국을 겨냥한 공격을 시도한 적도 있다. 바로, 평창동계올림픽 운영을 위한 핵심 시스템들을 노린 ‘올림픽 파괴자’ 공격이다. 평창동계올림픽 조직위원회와 올림픽 침해대응팀(CERT)은 올림픽을 노린 공격 중 역대 최악으로 손꼽히는 이 공격에 성공적으로 대응해 전 세계적인 관심을 받았다. 2020년 미국 법무부와 영국 외무부는 러시아 정찰총국(GRU)의 지원을 받는 ‘샌드웜 팀(Sandworm Team)’이 오랜 기간의 치밀한 준비를 통해 ‘올림픽 파괴자’ 공격을 감행했으며, 이들은 마치 북한의 소행 인양 위장했다고 발표했다. 국제올림픽위원회(IOC)가 불법 약물 복용을 이유로 러시아 국가대표팀의 참가 자격을 박탈한 것에 대한 보복이었다.
러시아는 물리적인 전쟁과 함께 사이버 전을 적극 이용하는 것으로도 유명하다. 한국 시간으로 올해 2월 24일 러시아의 우크라이나 침공이 이뤄진 가운데, 사이버 전은 그전부터 발생한 것으로 나타났다. 러시아는 2014년에도 우크라이나의 영토인 크림 반도를 자국 영토로 편입하고자, 사이버 전을 병행한 전력이 있다. 러시아는 침공에 앞서 이뤄진 4건의 러시아 추정 공격을 모두 부인했으나, 우크라이나를 비롯한 서구권 국가들은 러시아 정부의 지원을 받는 해킹 그룹에 의한 공격이라고 확신하고 있다.
04. ‘우린 해커이자 행동가이다’ - 어나니머스
러시아와 러시아 지지 조직이 우크라이나의 기업·기관을 공격하고 있는 가운데, 이에 맞서는 전 세계 해커들도 강하게 반격하며 사이버 세계 대전 양상이 지속되고 있다. 특히, ‘익명’이라는 의미 그대로 정체를 숨긴 채 활동하고 영화 ‘브이 포 벤데타’에 등장한 영국의 혁명가 ‘가이 포크스’ 가면을 상징으로 채택한 ‘어나니머스(anonymous)’의 활동이 눈에 띈다.
지도부 없는 점 조직인 어나니머스는 2000년 대 초반 미 커뮤니티 사이트 4챈(4chan)를 통해 만들어진 것으로 파악된다. 어나니머스는 창설 이래, 수익이 아닌 투쟁의 도구로 해킹을 사용하는 행동주의자, 즉 핵티비스트(hacktivist: hacking+activist)라고 스스로를 지칭하며 자신들의 뜻에 반하는 부패하고 폭력적인 국가·사회에 대한 사이버 공격을 지속해 왔다.
어나니머스는 2010년 폭로 전문 사이트인 위키리크스(WikiLeaks)를 공식적으로 지지하고, 위키리크스에 대한 기부금 결제를 차단한 여러 신용카드사에 분산서비스거부(DDoS) 공격을 감행하면서, 전 세계에서 높은 인지도를 확보하게 되었다. 당시 위키리크스는 미국 뉴욕타임스(NYT)와 영국 가디언 등 몇몇 언론에 세계 각국 지도자에 대한 적나라한 평가 등을 포함한 미 정부 외교전문 25만 건을 공개한 바 있다.
어나니머스는 이후로도 지속적으로 자신의 의사와 대립하는 국가, 조직에 대한 공격을 이어나갔다. 2011년 과도한 국민 정보 검열에 반대하는 아랍 민주화 운동이 일어나자, 어나니머스는 이에 대한 지지를 선언하고, 튀니지, 이집트 등의 정부 사이트를 마비시켰다. 2015년에는 이슬람 극단주의 세력인 ‘IS’에 공격을 감행해 조직원들의 신상을 공개하고, 이들이 계획 중이었던 테러 내용을 밝혀 추가 피해 발생을 막기도 했다. 작년 초에는 미얀마 군부와의 전쟁을 선포하고 군부 정권 관련 사이트를 타깃으로 하는 ‘오퍼레이션 미얀마(OpMyanmar)’ 작전을 펼쳤다.
어나니머스로서는 다소 이례적으로 개인에 대한 대규모 공격을 예고해 화제가 된 적도 있다. 어나니머스는 작년 6월 테슬라의 최고경영자(CEO)인 일론 머스크를 공개 저격하는 유튜브 영상을 올렸다. “수백만 명의 개미 투자자들은 암호화폐를 통한 수익에 의존하고 있는데, 당신은 암호화폐 시세 급등락을 부추기면서 많은 사람들의 인생을 망가뜨리고 있다”는 것이 그 이유였다. 일각에서는 어나니머스를 사칭한 해커들의 소행이라는 얘기도 나왔지만, 다른 한 편에서는 어나니머스의 영향력이 정치, 사회를 넘어 자본 영역까지 넓어졌다는 의미로 해석하고 있다.
어나니머스는 현재 우크라이나를 침공한 러시아 공격에 집중하고 있다. 어나니머스는 러시아가 우크라이나를 침공한 직후 러시아 정부에 대한 사이버 전쟁을 선언하고, 러시아 정부와 국영은행, 러시아 국영 방송 등을 타깃으로 하는 강력한 사이버 공격을 수행했다. 4월 초에는 트위터를 통해 우크라이나에서 전투 중인 러시아 군인 12만 명의 개인정보를 유출하며, “우크라이나 침공에 가담한 모든 군인은 전범 재판을 받아야 한다”라고 강조했다.
05. ‘부머(Boomers)’는 안녕, 이제 ‘주머(Zoomers)’ 해커의 시대가 왔다 – 랩서스
2021년 12월 혜성처럼 등장한 신생 해킹 그룹이 있다. 10대 해커들로 구성된 것으로 추정되는 ‘랩서스(LAPSUS$)’가 그 주인공이다. 엔비디아부터 삼성전자, LG전자, 마이크로소프트, 그리고 옥타까지, 자칭 ‘랩서스’라고 지칭하는 해킹그룹으로부터 침해를 당했거나 당한 것으로 추정되는 글로벌 기업들이 대거 등장하면서, 랩서스는 단기간에 큰 주목을 받는 해킹 그룹으로 부상했다.
랩서스는 다국적 조직원들로 구성된 점조직으로 점쳐진다. 이들이 관리하는 텔레그램 채팅 방에서는 영어, 러시아어, 터키어, 독일어, 포르투갈어 등 다양한 언어를 구사하는 조직원들이 활동하고 있는 것으로 알려졌다.
보안 업체 사일런트푸시(Silent Push)는 엔비디아와 삼성전자 같은 회사들에 앞서 브라질 보건부, 몇몇 브라질 및 포르투갈 회사들도 랩서스 공격에 당한 것으로 추정하고 있다. 3월 초 발생한 유럽 게임 개발사 유비소프트 해킹 역시 랩서스의 소행인 것으로 점쳐진다. 유비소프트를 해킹했다는 해커는 나타나지 않았으나, 랩서스가 텔레그램 채널을 통해 유비소프트 해킹 기사를 공지로 등록하고 웃는 모양의 이모티콘을 달았다는 점에서 ‘자신의 행위로 인정하고 광고하는 것’이라고 보고 있다.
디지털 셰도우(Digital Shadows)의 보안 전문가들은 랩서스는 기존의 공격자들과 크게 두 부분에서 명확한 방식의 차이를 보인다고 분석했다. 첫째, 랩서스는 랜섬웨어를 유포하지 않는 대신 데이터를 은밀하게 빼돌려 피해 조직을 협박하는 전술을 취하고 있다. 랩서스는 엔비디아와 삼성전자에서 훔친 데이터를 유출한 것에 대해서는 엔비디아 해킹 후 누군가 역으로 랩서스에게 침투해 자신들이 획득한 데이터를 암호화하려고 시도했기 때문이라고 주장했다.
둘째, 랩서스는 공격 후 텔레그램 팔로워들에게 공격에 대한 알림 메시지를 보내거나, 피해 기업에 돈 대신 이색적인 협박을 하는 등 그 소통 방식에도 차이를 드러내고 있다. 예로, 엔비디아에는 암호화폐 채굴을 위한 그래픽처리장치(GPU) 수요 폭증을 막기 위해 엔비디아가 GPU에 걸어둔 잠금 장치를 스스로 풀어 이를 암호화폐 채굴에 더 잘 활용할 수 있게 조치할 것을 요구한 바 있다.
3월 말 영국 경찰은 랩서스에 가담한 혐의로 랩서스 조직원 7명을 체포하고 수사 후 석방했다. 하지만 랩서스는 조금도 위축되지 않았다. 옥타 침해 후 잠시 휴가를 간다고 밝혔던 랩서스 해킹 조직은 최근 룩셈부르크의 소프트웨어 회사 글로반트(Globant)에서 데이터와 자격증명 등으로 구성된 70 기가바이트의 데이터를 탈취했다고 밝히며 복귀 소식을 알렸다.
크렙슨시큐리티에 따르면, 랩서스는 긴급 데이터 요청(Emergency Data Request, EDR) 등 ‘기술 수준은 높지 않지만 큰 영향을 미칠 수 있는 공격’ 방법을 주로 사용하고 있는 것으로 나타났다. 사법당국의 자격증명을 확보한 이후 긴급한 사안과 관련되어 있다며 통신·인터넷 서비스·소셜 미디어 기업 등에 민감한 데이터를 즉시 제공하도록 유도하는 식이다.
또한 랩서스는 기업 임직원의 계정 정보를 수집하고 엔드포인트 단에 접근하는데 공을 들이고 있었다. 랩서스는 다크 웹을 통해 타깃 시스템에 접속할 수 있는 임직원 또는 서드파티 직원의 정보를 구매하거나 계정 유출 기능 악성코드를 유포하는 등의 방법으로 공격 대상의 계정 정보를 습득한 것으로 나타났다. 옥타 사건의 경우, 랩서스는 서드파티 고객 지원 업체와 함께 일하는 엔지니어의 노트북을 통해 옥타 네트워크에 침투한 것으로 나타났다.
보안 전문가들은 “일각에서는 랩서스를 아이들로 구성된 유치한 해킹그룹이라고 깎아내리기도 하지만, 그가 누구이든 간에 랩서스의 공격이 굉장히 효과적이라는 사실을 부인할 수는 없다”라며 랩서스의 행보에 주의를 기울일 것을 당부했다.
06. 참고자료
「좀도둑이 아니다··· 악명 드높은 해커 그룹 6곳」, CIO Korea (2018)
「북한 해킹 그룹 ‘김수키·라자루스·스카크러프트·안다리엘’」, 시사저널 (2021)
「Not So Lazarus: Mapping DPRK Cyber Threat Groups to Government Organizations」, Mandiant (2022)
「ICBM 쏘고 물밑에선 사이버전... 북한 해킹 조직 집중 해부하다」, 보안뉴스 (2022)
「암호화폐로 돈벌이하는 북한··· 작년 4억달러 훔쳤다?」, 디지털데일리 (2022)
「코지 베어」, 위키백과
「팬시 베어」, 위키백과
「美-英 정보기관, 러시아 해킹그룹에 경고문··· 물밑 ‘사이버 전쟁’ 활발」, 디지털데일리 (2021)
「[사이버전쟁] 러시아 해킹그룹, 2016 대선 앞둔 미 민주당 해킹」, 국방일보 (2021)
「러시아의 우크라이나 침공으로 부각된 ‘사이버 전쟁’」, 디지털데일리 (2022)
「美, 러시아 경제봉쇄시 국내도 후폭풍…에너지 불안, 사이버 테러도 우려」, 디지털데일리 (2022)
「우크라이나 지원 나선 해커들··· 러시아 기업·기관 피해 누적」, 디지털데일리 (2022)
「어나니머스」, 한경 경제용어사전
「머스크에 전쟁 선포한 ‘어나니머스’, 테슬라 전산망 뚫을까」, 조선비즈 (2021)
「전 세계 '랩서스' 비상...달라도 너무 다른 해킹 스타일」, 디지털투데이 (2022)
「유비소프트 보안사고··· 삼성전자·엔비디아 공격한 랩서스가 범인일까?」, 디지털데일리 (2022)
「SK쉴더스, 랩서스 해킹조직 공격기법과 대응 전략 공개」, 아이티데일리 (2022)
「英 경찰, 해커그룹 랩서스 가담 혐의로 10대 두 명 기소」, 지디넷코리아 (2022)
「옥타·MS·삼성 턴 겁없는 10대... ‘랩서스’를 심각하게 봐야 할 이유」, CIO Korea (2022)