
북한 해커의 공격 물결: 기업 데이터 보안 강화가 시급하다
작성: MetaTrust Labs
2024년 1월 1일, 오르빗 체인(Orbit Chain)을 대상으로 한 해킹 공격이 전 세계 암호화폐 업계의 주목을 받았다. 보도에 따르면, 해커는 오르빗 체인의 취약점을 이용해 8150만 달러 상당의 암호화폐를 훔쳐 다른 주소로 송금했다. 오르빗 체인 측은 이 사건을 확인하고 국제 법 집행 기관과 협력하여 공격자의 신원과 동기를 추적 중이라고 밝혔다. 일부 보안 전문가들은 이번 공격의 수법과 목표가 북한 해커 조직 라자루스(Lazarus)의 스타일과 유사하다고 보며, 이는 해당 조직의 또 다른 사이버 범죄 활동일 가능성이 있다고 분석했다.
라자루스란 과연 어떤 조직이며, 왜 그들의 활동이 국제 사회에서 이렇게 높은 경계심을 불러일으키는 것일까? 또한 이들은 어떻게 암호화폐를 이용해 국제 제재와 자금세탁 방지 조치를 우회하는 것일까?
북한 출신의 해커 조직 라자루스
라자루스 해커 조직은 북한 정부의 지원을 받는 것으로 알려진 유명한 해커 그룹으로, 2009년부터 이미 10년 이상 운영되어 왔다. 이 조직은 전 세계적으로 금융기관, 언론 및 정부 기관 등을 표적으로 삼아 공격을 감행하며 널리 알려져 있다. 라자루스 그룹은 북한 정보기관인 정찰총국 산하의 121국이 통제하고 있으며, 은행과 암호화폐 거래소를 주요 타깃으로 하여 자금과 데이터를 탈취함으로써 경제적 이득을 얻는 것으로 유명하다. 이 조직은 프로그래머들을 특별히 우대하며 컴퓨터 재능이 있는 인재들이 공식적인 '해커' 부대로 진입하도록 장려한다.
평양자동화대학은 라자루스 그룹의 핵심 인력 공급처 중 하나로 알려져 있다. 이 조직은 과거 정치적 목적의 공격 중심에서 벗어나 현재는 경제적 이익을 위한 공격, 특히 암호화폐 생태계를 겨냥한 활동에 역량을 집중하고 있다. 그들의 활동에는 보안 연구원을 겨냥한 공격, 오픈소스 암호화폐 플랫폼에 악성 코드 삽입, 대규모 암호화폐 강탈, 그리고 위조된 채용 면접을 통한 악성 소프트웨어 유포 등이 포함된다. 이러한 해커 그룹이 불법 수단으로 확보한 자금은 일반적인 사이버 범죄 조직이 사용하는 전형적인 자금세탁 절차를 거친다. 탈취된 암호화폐는 종종 법정화폐로 전환되어 자금세탁 방지 조치를 회피하는 데 사용된다.
한국, 미국, 일본은 북한 해커 조직의 활동에 지속적으로 높은 경계를 유지하고 있다. 보도에 따르면, 북한 해커 조직은 지난 몇 년간 약 30억 달러 상당의 암호화폐 자금을 성공적으로 탈취했으며, 이 자금은 북한의 핵무기 및 탄도미사일 개발 계획을 지원하는 데 사용되었다. 미국, 한국, 일본의 보안 관계자들은 서울에서 회담을 갖고 북한의 사이버 공간 리스크에 대응하는 방안을 논의하고, 북한의 사이버 범죄 및 암호화폐 자금세탁 활동을 중점적으로 다루는 새로운 3자 협력 이니셔티브를 발표했다. 이번 회의는 한반도 긴장이 고조되는 시기에 개최되었으며, 북한이 핵무기와 미사일 개발 계획을 가속화하고 핵 선제 사용 의사를 공개적으로 표명한 가운데 열렸다.
라자루스 해커 조직의 공격 수법과 대상은 다양하며, 금융기관의 SWIFT 네트워크 공격부터 광범위한 암호화폐 강탈까지 그 기술적 능력과 위협성을 여실히 드러낸다. 그러나 이러한 공격에 대한 방어 조치는 여전히 미흡한 실정이다. 2018년 이후 북한 해커들은 약 20억 달러 상당의 가상화폐를 탈취했으며, 2023년 한 해에만 약 2억 달러의 암호화폐를 도난당했다. 이는 해당 연도 전체 도난 금액의 20%에 달하는 수치다. 이러한 해커들의 존재는 가상화폐 생태계에 지속적인 위협을 제공하며, 그들의 사이버 공격 기법은 날로 진화하고 복잡해지고 있다.
북한 해커 조직의 활동 규모는 다른 악의적 행위자보다 10배 이상 크며, 탈중앙화 금융(DeFi) 생태계에도 공격을 집중하고 있다. 이들은 피싱, 공급망 공격 및 기타 형태의 해킹 수단을 포함한 다양한 방법을 활용한다. 따라서 기업과 개인 사용자는 사이버 보안 조치를 강화하고, 소프트웨어를 정기적으로 업데이트하며, 비밀번호 전략을 강화하고 사이버 보안에 대한 경각심을 높여야 한다. 동시에 규제 당국 역시 감시를 강화하고, 이러한 사이버 범죄를 억제하기 위한 더욱 엄격한 법률과 규정을 마련해야 한다.
공격 사례 1: 라자루스, Log4Shell 취약점을 이용한 Blacksmith(철장장) 작전
공격 과정 및 수법:
1. Log4Shell 취약점 악용: 라자루스는 먼저 Log4Shell 취약점을 이용하는데, 이는 Log4j 로그 라이브러리에서 발견된 원격 코드 실행 결함이다. 이 취약점은 2년 전 발견되어 수정되었지만, 아직 패치되지 않은 시스템이 많아 라자루스에게 접근 창구를 제공한다.
2. 프록시 도구 배포: 초기 접근 권한을 확보한 후, 라자루스는 공격받은 서버에서 영구적인 접속을 가능하게 하는 프록시 도구를 설치한다. 이를 통해 정찰 명령 실행, 새로운 관리자 계정 생성, 추가 자격 증명 탈취 도구 배포 등의 작업을 수행할 수 있다.
3. NineRAT 배포: 두 번째 단계에서 라자루스는 시스템에 NineRAT 악성코드를 배포한다. NineRAT은 원격 접근 트로이목마(RAT)로, 시스템 정보 수집, 새 버전으로 업그레이드, 실행 중단, 자체 제거, 감염된 컴퓨터에서 파일 업로드 기능을 갖추고 있다. 또한 영속성을 유지하고 주요 바이너리를 실행시키는 리릴리서(releaser)도 포함되어 있다.
4. DLRAT 및 BottomLoader 사용: 라자루스는 DLRAT과 BottomLoader도 함께 사용한다. DLRAT은 트로이목마 및 다운로더로서, 감염된 시스템에 추가 페이로드를 주입할 수 있게 해준다. BottomLoader는 하드코딩된 URL에서 페이로드를 가져와 실행하는 악성 다운로더다.
5. 자격 증명 탈취 및 영속화: ProcDump 및 MimiKatz 같은 도구를 이용해 자격 증명 덤프를 수행하여 추가 시스템 정보를 확보한다. 동시에 시스템 시작 디렉터리에 URL 파일을 생성함으로써 새로운 버전의 페이로드를 영속화하거나 삭제되도록 설정한다.
참고 링크: https://www.csoonline.com/article/1259949/lazarus-apt-attack-campaign-shows-log4shell-exploitation-remains-popular.html https://nvd.nist.gov/vuln/detail/cve-2021-44228
공격 사례 2: 라자루스, MagicLine4NX 소프트웨어를 이용한 공급망 공격
공격 과정:
1. 워터링홀 공격: 라자루스 해커 조직은 특정 사용자들이 자주 방문하는 웹사이트에 침투하여 악성 스크립트를 삽입한다. MagicLine4NX 인증 소프트웨어를 사용하는 사용자가 이러한 웹사이트를 방문하면 삽입된 코드가 실행되며, 해커는 시스템을 완전히 장악하게 된다.
2. 시스템 취약점을 이용한 악성 코드 확산: 해커는 MagicLine4NX 소프트웨어 내 제로데이 취약점을 이용해 네트워크에 연결된 개인 컴퓨터가 해커의 인터넷 서버에 접속하도록 만든다. 이후 데이터 동기화 기능을 통해 악성 코드를 업무용 서버로 확산시킨다.
3. 데이터 전송 시도: 악성코드는 두 대의 C2(Command and Control) 서버에 접속을 시도하며, 하나는 내부 네트워크 게이트웨이이고, 다른 하나는 외부 인터넷에 위치한다. 연결에 성공할 경우, 대량의 내부 네트워크 정보가 유출될 수 있다.
기술적 수단:
1. 제로데이 취약점 악용: 해커는 아직 공개되지 않은 MagicLine4NX 소프트웨어의 제로데이 취약점을 이용해 무단으로 대상 시스템에 접근한다.
2. 공급망 공격: 공급망 내 취약점을 이용함으로써 정상적인 보안 조치를 우회하고 직접 대상 시스템을 공격한다.
3. 데이터 동기화 및 C2 서버 연결: 해커는 데이터 동기화 기능을 이용해 악성코드를 업무용 서버로 전파하고, 외부 C2 서버와 연결을 시도하여 추가적인 제어와 데이터 탈취를 수행한다.
참고 링크: https://www.zerofox.com/advisories/22471/ https://nvd.nist.gov/vuln/detail/CVE-2023-45797
공격 사례 3: 암호화폐를 겨냥한 공격
대상: 암호화폐 거래소, 지갑, 탈중앙화 금융(DeFi) 생태계
공격 시기: 2018년 이후, 특히 2023년
공격 과정 및 기술적 수단:
1. 취약점 및 유출된 개인 키 악용: 북한 해커는 유출된 개인 키 또는 시드 문구를 노리는 피싱 및 공급망 공격을 통해 대상을 침입한다.
2. 크로스체인 공격: 특히 Axie Infinity Ronin Bridge와 같은 크로스체인 브릿지를 타깃으로 삼아 대량의 가상화폐를 탈취한다.
다단계 자금세탁 과정: 북한 해커는 과거에도 복잡한 '다단계 자금세탁 과정'을 사용해 자금의 출처와 흐름을 모호하게 만들어왔다. 탈취한 가상화폐를 먼저 다른 토큰으로 변환한 후, 자동 프로그램, 믹서(mixer), 크로스체인 교환 등을 통해 여러 차례 혼합 및 교환을 반복하여 추적을 어렵게 만든다.
3. 탈중앙화 거래소 활용: 탈취한 가상화폐를 탈중앙화 거래소(DEX)를 통해 이더리움(ETH)으로 교환한 후, 다시 여러 차례 혼합 및 교환을 진행한다.
위 사례들을 종합하면, 공격자는 기밀 사업 정보, 고객 데이터, 개인 신분 정보 등 민감한 데이터를 탈취하여 개인정보 유출과 잠재적 법적 결과를 초래할 수 있다. 해커가 시스템을 완전히 장악할 수 있기 때문에 기업의 내부 데이터, 고객 정보 등 대량의 민감 정보가 노출될 수 있다. 라자루스의 해킹 활동은 피해 기관의 데이터 유출 및 시스템 손상뿐 아니라, 사업 운영에 심각한 영향을 미칠 수 있다.
이러한 공격은 일반적으로 복잡한 공급망 공격을 포함하므로 방어 및 탐지는 더욱 어려워진다. 금전적 손실도 발생할 수 있는데, 이는 악성코드 제거, 데이터 복구, 시스템 복구 비용과 더불어 서비스 중단으로 인한 수익 손실을 포함한다. 해커의 공격으로 인해 대량의 가상화폐가 도난당하면서, 피해자에게는 경제적 손실뿐 아니라 개인 정보와 거래 데이터가 노출될 위험도 있다. 크로스체인 브릿지에 대한 공격은 전체 시스템의 마비를 초래하여 정상적인 거래를 방해할 수 있다.
이러한 보안 위협에 대응하기 위해 조직은 다음과 같은 예방 조치를 취할 것을 권장한다
1. 취약점 즉시 패치: 알려진 취약점을 신속히 패치하여 보안 업데이트를 적용한다. 특히 공급망에서 사용하는 소프트웨어 및 구성 요소의 경우, MetaScan의 자동 감사 기능을 통해 잠재적 취약점을 조기에 발견하고 수정할 수 있다.
2. 공급망 보안 강화: 공급망 파트너와 안전한 협력 관계를 구축하고, 소프트웨어 및 구성 요소를 검토 및 검증하여 공급망 각 단계가 해킹 공격에 노출되지 않도록 한다. MetaScout의 모니터링 기능을 활용하면 블랙리스트를 동적으로 업데이트하여 잠재적 북한 해커 주소로부터의 공격을 차단할 수 있다.
3. 보안 인식 교육: 직원 대상 보안 인식 교육을 강화한다. 워터링홀 공격, 악성 스크립트, 공급망 보안의 중요성에 대해 교육함으로써 인간 요인이 보안에 미치는 영향을 최소화한다. Scantist의 DevSecOps 솔루션은 조직에 일괄적인 보안 교육과 지침을 제공할 수 있다.
4. 네트워크 트래픽 모니터링: 네트워크 트래픽 모니터링 및 침입 탐지 시스템(IDS/IPS)을 도입하여 이상 활동 및 공격 행위를 조기에 탐지한다. MetaScout의 공격 차단 메커니즘은 네트워크 트래픽 모니터링과 결합되어 해커의 공격 거래를 신속히 식별하고 차단할 수 있다.
5. 다층 방어: 방화벽, 침입 탐지 시스템, 백신 소프트웨어 등 다층 방어 조치를 도입하여 시스템 보안을 강화한다. MetaScan의 Prover 기능은 기존 보안 도구 및 조치와 연동하여 보다 포괄적인 방어 체계를 형성할 수 있다.
6. 지속적 모니터링 및 대응: 보안 모니터링 및 대응 체계를 구축하여 네트워크 및 시스템 활동을 실시간으로 모니터링하고, 이상 행동을 조기에 발견해 적절한 대응 조치를 취함으로써 피해를 최소화한다. Scantist의 컴포넌트 분석 기능은 소프트웨어 공급망 내 취약점을 지속적으로 모니터링하고, 문제 있는 오픈소스 및 제3자 컴포넌트를 즉시 차단할 수 있다.
7. 암호화폐 거래소 및 지갑 보안 강화: 암호화폐 거래소와 지갑은 강력한 비밀번호 사용, 주기적 개인 키 변경, 다중 보안 전략 시행 등 보안 조치를 강화해야 한다. MetaScout의 차단 메커니즘은 암호화폐 거래소에 동적 블랙리스트 기반 공격 차단 보호를 제공하여 사용자의 디지털 자산을 안전하게 보호할 수 있다.
8. 정기적 감사 및 점검: 조직은 시스템에 대한 정기적인 보안 감사 및 점검을 실시하여 잠재적 보안 취약점이 없는지 확인해야 한다. MetaScan의 자동 감사 기능은 조직의 포괄적인 보안 평가를 지원하며, 잠재적 취약점과 리스크를 조기에 발견할 수 있도록 돕는다.
9. 대중 인식 제고: 대중에게 사이버 보안의 중요성을 교육하고, 자신의 디지털 자산을 보호하는 방법을 알리도록 한다. 조직은 캠페인, 소셜 미디어 등을 통해 대중의 사이버 보안 인식을 높이고 관련 보안 조언과 지침을 제공할 수 있다.
주의할 점은 보안 위협과 예방 조치는 실제 상황과 최신 보안 정보에 따라 평가되고 맞춤화되어야 한다는 것이다. 또한 정기적인 데이터 백업 및 복구, 강력한 비밀번호 및 다중 인증(MFA) 사용, 특권 접근 권한 제한 등도 보안성을 높이는 효과적인 조치들이다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News










