지난해부터 올해 초까지 한국을 표적으로 6가지 사이버 작전(캠페인)이 펼쳐졌다. 해당 조직은 한국어가 유창하고 사전 지식이 많았다.
시스코 보안 인텔리전스 그룹 탈로스는 지난 1년간 한국을 표적으로 진행된 캠페인을 정리한 보고서를 발표했다. 탈로스는 공격자를 '그룹 123'으로 명명했다. 그룹123은 △골든 타임 △사악한 새해 △프리밀크(FreeMilk) △행복하십니까? △북한 인권 △사악한 새해 2018년 등 6가지 사이버 작전을 수행했다.
분석 결과 골든 타임, 사악한 새해, 북한 인권 캠페인은 모두 한국 사용자를 특정 표적으로 삼았다. 공격자는 한컴오피스 제품군을 이용해 만든 악성 HWP 문서와 스피어 피싱 이메일을 사용했다.
프리밀크 캠페인은 한국 금융 기관뿐 아니라 전세계 금융 기관에 수행됐다. 공격자는 주로 쓰던 한컴 문서 대신 마이크로소프트 오피스를 이용했다.
행복하십니까 캠페인에서 공격자는 디스크 삭제도구(와이퍼)를 만들었다. 감염된 원격 시스템에 대한 접근 권한을 획득해 디바이스의 첫 번째 섹터를 지우는 목적이다. 이 도구는 ROKRAT 모듈인 것으로 확인됐다.
골든타임 캠페인 발신자는 '한반도국제포럼'이라는 학술대회 담당자 이메일을 사용했다. 이메일 헤더 분석 결과 연세대 네트워크와 연관된 IP를 쓰는 SMTP 서버에서 전송됐다. 공격자가 해당 이메일 주소 보안을 침해한 후 공격에 이용했다.
그룹123은 지난해 초 사악한 새해 캠페인을 벌였다. 공격자는 한국 통일부에서 이메일을 보낸 것처럼 가장해 피해자를 속였다. 소수에게 악성 첨부파일이 담긴 스피어 피싱 이메일을 보냈다.
올해 초 나타난 사악한 새해 2018 캠페인 역시 지난해와 동일하다. 한글 문서를 이용해 북한 지도자 2018년 신년사를 분석한 내용을 담았다.
탈로스는 그룹 123은 한국을 주요 표적으로 삼았다고 분석했다. 그룹123은 한국어를 자연스럽게 사용하고 지역 특성에 맞는 공격을 한다. 공격 대상이 정보, 문서, 이메일을 합법적이라 생각하도록 유도한다. 그룹123은 높은 수준의 한국 관련 지식을 보유했다.
그룹 123은 HWP문서와 MS 문서를 이용해 국내뿐 아니라 세계를 대상으로 공격한다. 합법적인 웹사이트와 클라우드 플랫폼을 사용해 감염된 시스템과 통신한다.
김인순 보안 전문기자 insoon@etnews.com
