北 해킹조직 '기술탈취' 기승…韓·美·英 "사이버 보안 강화해야"
국정원·경찰청 등 7개 기관 참여 공동 권고문 배포
"랜섬웨어 몸값으로 첩보자금 확보…Log4j 취약점으로 침투"
- 윤주영 기자
(서울=뉴스1) 윤주영 기자 = 북한 정찰총국 산하 해킹조직 '안다리엘'이 '민감기술 탈취' 등 활개를 치자 한·미·영 3국이 공동 보안 권고문을 냈다. 주요 인프라 사이버 취약점, 사용자 레벨 단말(엔드포인트) 보안 강화가 권장됐다.
국가정보원은 '북한 해킹조직, 정권의 군사ㆍ핵무기 개발을 위한 글로벌 해킹 활동'이란 권고문을 국가사이버안보센터 홈페이지에 26일 게재했다.
이 공동 권고문은 3국의 7개 기관이 참여했다. 한국의 경우 국정원과 경찰청이다. 미국은 사이버사령부(CNMF)·사이버인프라보안청(CISA)·국방사이버범죄센터(DC3)·국가안보국(NSA) 4개 기관, 영국 국가사이버안보센터(NCSC) 등이다.
작성 기관들은 안다리엘이 세계 여러 산업 분야와 국가에 지속적인 위협을 가한다고 보고 있다. 방산·항공우주·핵·해양 등 공학 기관을 겨냥해 민감 기술, 지적 재산을 탈취하기 때문이다. 이런 공격은 결국 북한 정권의 군사·핵무기 개발이 목표다.
안다리엘은 기업 서버에 침투해 주요 자료를 탈취·암호화 후 '몸값'을 요구하는 랜섬웨어 공격도 수행 중이다. 첩보 자금을 확보하려는 것이다.
실제로 최근 미국 병원·의료업체에 랜섬웨어 공격을 가한 북한 해커 림종혁을 두고 미 국무부가 약 138억 원의 현상금을 걸기도 했다.
권고문에선 "공격자는 Log4j 등 기존 알려진 취약점으로 웹 서버에 광범위한 공격을 가하고 웹쉘을 유포해 중요 정보나 응용 프로그램에 접근한다"고 설명했다.
웹셀은 공격자가 원격에서 웹 서버에 명령을 수행하도록 올리는 스크립트 파일이다.
이어 "이들은 미미캐츠(Mimikatz) 등 자격증명 절취 도구를 사용해 공격대상 권한을 획득한다"며 "이후 자체 수정한 악성코드 임플란트 등 도구로 침투해 내부확산(시스템 내부 간 이동)·데이터 유출 등을 단계별로 수행한다"고 부연했다.
이를 방어하려면 주요 인프라 조직은 취약점을 패치 후 적시 적용해야 한다. 또 웹쉘로부터 웹 서버를 보호하는 한편 엔드포인트 모니터링도 강화해야 한다. 인증·원격 접근 보안 강화도 필요하다.
legomaster@news1.kr
Copyright ⓒ 뉴스1. All rights reserved. 무단 전재 및 재배포, AI학습 이용금지.