Sunday, May 17, 2020

북한의 사이버 공격에 적극 대응하는 미국

"이런, 당신의 중요한 파일이 암호화되었습니다.(Ooops, your important files are encrypted.)"

3년 전, 2017년 5월 12일, 자신의 컴퓨터를 켜자 이 메시지를 본 사람은 전 세계 99개국 12만대의 소유자였다. 바로 '워너크라이(WannaCry)' 혹은 '워너크립트(WannaCrypt)'로 불리는 랜섬웨어 공격 때문이다.

워너크라이 감염 시스템 한글창

감염되면 컴퓨터 내의 주요 파일들을 암호화하고, 이 암호를 해독하기 위해서는 비트코인 300~600달러를 요구하는 메시지를 띄었다. 처음 악성코드가 실행되면 300달러(약 34만원)의 비트코인을 요구했다가 3일이 지나면 두 배인 600달러(약 68만원)가 되었다. 악성코드에 대한 작명으로 지금까지 최고라 할 만하다. 많은 사람이 중요한 문서 파일을 열지 못해서 울고 싶었을 것이다.

이 랜섬웨어는 미국 국가안보국(NSA)에서 개발한 취약점 공격 도구로 개발한 이터널블루(EternalBlue)가 기초가 되었다. 마이크로소프트의 파일 공유 시 사용되는 SMB(Server Messgae Block) 프로토콜을 악용한 취약점 공격이다. SMB는 네트워크에 연결된 PC 간에 파일 등을 공유할 수 있도록 설계된 프로토콜인데, 다른 PC나 O/S와 자원을 쉽게 공유할 수 있어 널리 쓰인다. 문제는 이런 특성 탓에 한 대의 시스템이 악성코드에 감염될 경우 급속하게 수많은 PC로 전파될 수 있다.

NSA 내에는 최정예 해커 조직인 '특수접근작전실'(TAO; Tailored Access Operations, 혹은 Equation Group, 지금은 Computer Network Operations라 불림)이 있는데, 이 조직에서 사용하는 스테이징(Staging) 서버에 이터널블루(EternalBlue)가 있었고, 이를 더 섀도우 브로커스(The Shadow Brokers)라는 해킹 그룹이 해킹했다고 주장했다. 보다 유력한 설은, 섀도우 브로커스가 해킹한 적이 없고 대신 NSA의 계약직 직원이었던 해럴드 T 마틴 3세(Harold T. Martin III)로부터 해당 코드를 구매했다는 것이다. 그가 NSA로부터 유출한 문건이 섀도우 브로커스가 팔고자 한 내용과 일치하는 것으로 알려졌다. NSA 내부 고발자 에드워드 스노든(Edward Snowden)을 포함한 보안 전문가들은 섀도우 브로커스가 러시아와 연관이 있는 것으로 봤다.

어쨌든, 이렇게 섀도우 브로커스에 유출된 이터널블루(EternalBlue)를 북한의 해킹 그룹 라자루스(Lazarus; 혹은 히든 코브라)가 이를 사용해 워너크라이 공격을 감행했다는 것이다. 이후 2018년 미 법무부는 2014년 소니픽처스 해킹, 2016년 방글라데시 중앙은행 해킹, 2016~2017년 록히드 마틴사 해킹, 2017년 세계 주요 기관 홈페이지를 마비시켰던 '워너 크라이' 공격 등의 혐의로 북한 해커 박진혁(34)을 기소했다.

재미있는 사실은, 이 공격으로 인해 북한의 우방인 러시아가 가장 큰 피해를 입었고, 중국도 10대 피해국에 포함되었다.

이후 미국은 2019년 NSA 산하에 북한, 러시아, 이란 등의 사이버 공격에 초점을 맞춘 전담부서를 신설했다. 이 신설된 '사이버보안부(Cybersecurity Directorate)'는 국가별 사이버 공격 특성에 맞춰 각각 전략적 대응을 달리할 계획이다. 예를 들면, 북한이 자주 쓰는 수법이 가상화폐 탈취이기 때문에 이런 공격에 맞서 자체 암호화 기술을 개발하고 있다고 밝혔다. 유엔 안보리 산하 대북제재위원회의 한 보고서에 의하면, 북한이 가상화폐 채굴 및 현금화로 최대 20억 달러(약 2조3900억 원)를 벌어들였다고 밝혔다.
지난 2017년 '워너크라이' 공격의 배후를 발표하는 미국 백악관

'워너크라이(WannaCry)' 공격 3주년인 2020년 5월 12일, 미국 국토안보부(DHS) 산하 사이버 보안·기반시설 보안국(CISA)과 국방부(DoD), 연방수사국(FBI)이 공동으로 북한이 이용하는 것으로 여겨지는 악성코드 변종에 대한 분석보고서 3개를 발표했다.

이 분석 보고서에는 북한 내 사이버 활동 조직이 이용하는 도구와 시설에 대한 기술적인 세부 내용이 포함돼 있다. 이번에 새로 공개된 악성코드 변종 3개는 ‘카퍼헷지(COPPERHEDGE)’와 ‘테인티드스크라이브(TAINTEDSCRIBE)’, 그리고 ‘페블대시(PEBBLEDASH)’로 명명됐고, 아래 CERT 사이트에서 확인할 수 있다.
https://www.us-cert.gov/northkorea

미국의 사이버사령부(USCYBERCOM)는 북한 관련 악성코드 샘플을 바이러스토탈(VirusTotal)에 지속해서 제공하고 있다. 바이러스토탈은 여러 백신 회사의 엔진을 사용하여 바이러스나 웜 등을 검사해서 제공하는 사이트로 구글이 2012년에 인수해서 자회사로 만들었다.

이렇게 각국은 겉으로는 대통령들이 만나서 평화롭게 악수하며 평화를 조정하고 있지만, 보이지 않는 사이버 세상에서는 치열하게 싸우고 있다.

▶ 함께 읽어보면 좋은 관련 글:
· 안전한 웹서핑을 위한 필수 보안툴
· 2020년 사이버보안 트렌드


* 참고 자료 및 출처

No comments:

Post a Comment