태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

3.20 이후 북한 추정 공격, 이미 5월 5일부터 시작


지난 5월 29일, 국내 보안기업의 전문가가 단독 인터뷰를 통해 3월 20일 국내 방송사와 금융사를 공격했던 사이버 해킹 조직(이후 북한의 소행으로 지목함)이 활동을 재개했다고 밝힌 바 있다.

 

이러한 주장의 배경에는 다운로드되는 악성파일, 감염된 PC가 연결하는 C&C 네트워크 정보, 해킹 조직이 사용하는 고유한 식별번호(8자리 숫자) 등이 있다.

 

또한 6월 4일 다수의 언론에서 3.20과 유사한 악성코드가 발견 되었고 5.31일 발견과 동시에 연결 주소를 차단하여 사전 차단의 귀감이라는 기사가 발표되고 있다. 빛스캔(주)에서는 현재 한국 인터넷상의 대량 악성코드 유포와 관련된 집중적인 모니터링을 수행하고 있으며, 기존 보도된 자료와 다른 내용들이 있어서 바로잡고자 한다.

 

개인 SNS 페이지를 통해 공개된 C&C 주소를 비교한 결과 빛스캔은 이 공격이 최초 5월 5일부터 감지가 되었으며, 최근 국가 기관 및 보안 업체가 5월 31일 사전에 차단했다고 밝힌 악성코드 또한 5월 23일부터 출현하기 시작한 것임을 확인하였으며 자세한 사항은 다음과 같다. 5월 1주차 이후 정보제공 서비스를 통해 제공된 보고서의 원문을 발췌하여 공개한다.

 

* 상세 기술적 내용은 PDF 참고


3.20 이후 북한 추정 공격,이미 5월 5일부터 시작.pdf



5월달에 발생한 공격에서 다운로드된 악성코드 파일은 총 6개 수집된 바 있다.

이러한 공격은 보통 APT 공격이라고 부르며, 백신과 같은 기존 보안 솔루션을 우회할 수 있도록 교묘하게 제작되고 있다. 또한, 다운로드되는 악성코드는 백신 등이 진단하기 전에 미리 다른 패턴으로 변경하기 때문에 더욱더 예방이나 차단이 어렵다.

 

일부 언론에 따르면 모 백신업체가 5월 30일 해당 악성코드를 입수 및 분석하고 정부기관과 공조하여 백신이 대응할 수 있도록 업데이트, C&C 네트워크와의 연결 차단 등의 대책을 성공적으로 마무리하였다고 자평하고 있다.

 

하지만, 앞에서도 언급한 바와 같이 최초 공격 시점과는 약 25일, 본격적인 공격으로부터는 약 7일 정도의 시간적 차이가 있음을 알 수 있다. 이를 통해 악성코드를 효과적으로 수집 및 대응하는 절차 상에 빈틈이 있을 수 있다는 반증이기도 하다. 이 점은 지난 3.20 사이버 테러 발생 때에도 동일하게 재현되었다.

 

참고로, 당사는 이러한 사실을 바탕으로 5월 4주차에 인터넷 위협 수준을 "경고"로 상향 조정하여 정보제공 서비스 가입 기관/기업에게 정보를 제공 하고 있으며, 심각한 사안에 대해서는 공개용으로 정보를 제공하고 있다. 위협레벨 상향이후 이미 확인된 C&C에 대한 정보들중 일부를 5월 30일자로 공개를 한바 있다. 이중에는 3.20 공격과 연관된 악성코드가 명령을 받는 것으로 알려진 C&C 주소도 일부 포함 되어 있다. 공개 목록은 본 자료의 상세 자료와 5.30일 2차 정보공유시에 공개된 목록 (http://p4ssion.com/365 )을 확인하여 보면 경고 등급 상향 이후 수집된 정보에 포함되어있음을 확인 할 수 있다.

 

5월 4주차 위협레벨 상향에 따라 공개된 정보중 관련 샘플 기록

[5.23~5.27 기간 발견된 내역 제공]

110.34.240.123-124 차단권고

www.hfhssv.cn:10086, hfhssv.cn, 199.193.68.136:10086 차단권고

 

본 자료는 해외에서 분석된 Castov 관련 악성코드와 관련하여 위험성을 인식시키기 위해, 국내 금융 기관을 노린 악성코드(castov)에 대한 정보를 수집하여 반영한 결과이기도 하다.

6월 4일 현재에도 한국 인터넷의 위협레벨은 여전히 "경고" 상태에 있으며, 5월 말을 기해 차단했다고 하는 유형보다 심각한 위협들이 계속 되고 있는 상황이라 여전히 경계를 늦춰서는 안되는 상황에 있다. 현재 차단된 위협은 전체 위협의 작은 부분일 차지할 뿐이다.우리는 여전히 위협을 관찰 하고 있다.

 

문의 info@bitscan.co.kr

신고
Posted by 바다란