2024년 4월 23일 경찰은 북한 해킹그룹들이 협동해서 한국 방위산업체를 공격했다는 밝혔습니다.
. 北 3개 해킹조직 힘 합쳐 국내 방산업체 총공격…10여곳 피해 (연합뉴스, 2024.04.23)
https://www.yna.co.kr/view/AKR20240423054900004
. 북한 해킹조직, K-방산 10여곳 털었다 (전자신문, 2024년 4월 23일)
https://www.etnews.com/20240423000390
. DPRK hacking groups breach South Korean defense contractors (Bleeping Computer)
북한 추정 해킹 그룹 뿐 아니라 여러 해킹 조직으로 부터 국내 조직은 계속 공격을 받고 있고, 방위산업 역시 마찬가지입니다.
* 공격 수법
경찰청 보도자료를 찬찬히 읽어봤습니다.
이번 공격에 참여한 북한 해킹 그룹은 안다리엘 (Andariell), 라자루스 (Lazarus), 김수키 (Kimsuky)로 추정된다고 합니다.
직접 방산업체에 침투하기도 하고 협력업체를 해킹 후 침투하기도 했다고 합니다.
침투방법은 여러가지 입니다.
사례 1. 인터넷망(외부망) 직원 컴퓨터에 악성코드 감염 후 서버 해킹. 테스트 목적으로 열려있는 망 연계 시스템 통해 내부망 장악
사례 2. 원격으로 유지 보수하는 업체 직원 계정 탈취해 접속
사례 3 - 로그인 없이 외부에서 전자 우편으로 대용량 파일을 다운로드 받을 수 있는 그룹웨어 서버 취약점 이용
공격자들은 테스트 목적으로 열려있는 내부 시스템, 유지 보수 업체 계정, 자료 저장 서버 취약점 등 다양한 방법을 이용해 해킹했습니다.
* 교훈
망연계를 통해 우리 내부망은 외부 해킹에 안전하다고 생각하지만, 완전한 망분리는 거의 없습니다.
보통 망분리는 방화벽 등으로 인터넷을 차단한 경우가 대부분이고, 몇몇 사이트나 포트는 열어두기도 합니다.
그리고, 인터넷망과 내부망을 연결해주는 경우도 있습니다.
만약 인터넷망과 내부망을 연결해주는 장비에 취약점이 있거나 장악되면 어떻게 될까요 ?
내부 서버도 모니터링을 잘해야하는데 보통 내부망은 유심히 모니터링하지 않아 사각지대에 있는 경우도 많습니다.
유지보수 업체를 통한 공격도 자주 있는데, 직원들의 업무용 계정과 개인 계정의 분리가 필요합니다.
(저도 업무용과 개인용 계정, 메일주소, 암호가 모두 다르고 중요 계정은 2단계 인증을 사용하고 있습니다.)
대용량 첨부 파일 때문에 외부 서버에 저장한 듯 한데, 결국 해당 그룹웨어가 관리를 잘못하면 내부 정보가 유출될 수 있는 문제가 있습니다.
* 공격자들도 사람
사실 정교한(?) 듯한 이들의 공격도 여러 명이 관여하고 있어 북한식 표현을 사용하는 기초적인 실수도 하고 있습니다.
. [단독] "인차 연락드리겠습니다"…'주중 韓대사관 메일' 속 낯선 말투, 北 해커였다
https://www.youtube.com/watch?v=YMQ0HPGxjgQ
두음법칙 무시한 북한식 표현을 본게 2008년이니 16년이 지난 지금도 동일한 실수를 반복하고 있는 점은 흥미롭습니다.
내부용 프로그램이긴 하지만, 북한 추정 해킹 그룹에서 사용했다고 알려진 피싱 메일 발송 도구에서는 '프로그람', '오유'와 같은 북한식 표현이 그대로 사용 중인걸 알 수 있습니다.
https://xcoolcat7.tistory.com/1520
* 방어자는 늘 불리합니다.
방어 입장에서는 늘 어려움이 있습니다.
여러 협력 업체가 존재하는 경우 자신만 잘 지킨다고 해서 보안 문제가 해결되지 않습니다.
이번에도 협력업체를 통한 해킹이 있었습니다.
앞으로도 이런 안보 분야에 대한 사이버공격이 발생할 겁니다.
https://www.youtube.com/watch?v=Avc41o9PsrI
이번 일을 계기로 보안이 더 강화되었으면 합니다.
'Security > 보안 뉴스' 카테고리의 다른 글
생성형 AI 이용해 랜섬웨어 만든 일본인 검거 ... 휴대폰에 랜섬웨어를 보냈다고 ? (1) | 2024.06.03 |
---|---|
북한 고려 항공사 디도스 공격 당함 .. 공격과 방어는 별개 (0) | 2024.05.30 |
톰 홀랜드 X (트위터) 계정 해킹되어 가상자산 스캠에 활용 (0) | 2024.04.18 |
Unsaflok - Saflok 브랜드 호텔 방문 열게 하는 취약점 (2) | 2024.03.26 |
미국 재무부,정부 기관과 언론 매체 사칭 러시아인 제재 (0) | 2024.03.25 |