카스퍼스키랩, 3.20공격 배후로 지목 해커조직 ‘라자루스그룹’ 활동 심층 분석

카스퍼스키랩은 노베타(Novetta) 보안 회사를 비롯한 다른 업계 파트너와 함께 일명 ‘오퍼레이션 블락버스터(Operation Blockbuster)’ 합동 연구 조사에 참여해 대규모 사이버 공격의 배후를 밝혔다.

이번 연구 조사의 목적은 전 세계 수많은 기업을 대상으로 전통적 사이버 스파이 활동은 물론 컴퓨터 데이터 파괴까지 저지르는 악랄한 해커 조직인 라자루스그룹(Lazarus Group)의 활동을 저지하는 것이다.

라자루스그룹은 2014년 있었던 소니픽처스엔터테인먼트 공격 사건과 대한민국의 미디어 및 금융 조직을 겨냥한 2013년 3.20 공격(이하 DarkSeoul)의 배후로 지목되는 조직이다.

2014년 유명 영화 제작사인 소니픽처스엔터테인먼트(SPE)를 노린 공격이 발생한 후 카스퍼스키랩의 글로벌 위험 정보 분석팀(GReAT)은 공격에 사용된 것으로 공식적으로 파악된 데스토버(Destover) 악성 코드 샘플을 조사하기 시작했다. 그리고 곧 금융 조직, 방송국 및 제조 회사를 대상으로 하는 여러 사이버 스파이 및 사이버 사보타주 공격에 대한 폭넓은 조사로 확대됐다.

다양한 악성 코드의 공통된 특징을 근거로 카스퍼스키랩은 수십 가지의 개별 사이버 공격을 그룹화하고 이들이 모두 같은 해킹 조직에서 시작된 것임을 파악할 수 있었다. 이 사실은 오퍼레이션블락버스터에 속한 다른 보안 업체의 자체 분석에서도 확인된 바 있다.

라자루스그룹 해킹 조직은 SPE 사건 이전에도 수년간 활동했으며 여전히 활동을 이어가고 있는 것으로 보인다. 카스퍼스키랩과 오퍼레이션 블락버스터에 소속된 또 다른 업체는 연구를 통해 대한민국에 있는 은행과 방송국을 겨냥한 다크서울(DarkSeoul) 공격, 대한한국 군대를 겨냥한 트로이(Troy) 공격 및 소니픽처스 공격을 비롯한 여러 공격에 사용된 악성 코드 사이에서 연결점을 발견할 수 있었다.

조사 과정에서 카스퍼스키랩의 연구원들은 예비 조사 결과를 알리엔볼트랩스(AlienVault Labs)와 교환했고 마침내 두 회사의 연구원들은 합동 조사를 수행하기로 결정했다. 같은 시기에 다른 여러 회사 및 보안 전문가들도 라자루스그룹 활동을 조사하는 중이었으며 그 중에서도 노베타는 라자루스그룹 활동에 대한 가장 포괄적이며 실행 가능한 전문 자료를 발표하기 위한 프로젝트에 돌입했다.

노베타, 알리엔볼트랩스 및 기타 업계 파트너들과 함께 오퍼레이션 블락버스터에 속해 있는 카스퍼스키랩은 더 많은 사람들이 공격에 대비할 수 있도록 조사 결과를 발표하고 있다.

서로 다른 사이버 보안 사건의 여러 악성 코드 샘플을 분석하고 특별한 탐지 규칙을 지정한 결과 카스퍼스키랩, 알리엔볼트 및 기타 오퍼레이션블락버스터 전문가들은 라자루스그룹이 저지른 수많은 공격을 식별해낼 수 있었다.

공격에 사용된 방법을 분석하는 중 여러 샘플이 하나의 그룹으로 연결된다는 사실이 밝혀졌다. 특히 해커들이 악성 코드 개발에 사용된 일부 코드를 다른 악성 코드 개발에서도 재사용한다는 점이 파악됐다.

이에 더해 연구원들은 해커들의 작업 방식 간에도 유사점이 있다는 것을 발견할 수 있었다. 서로 다른 공격에서 수집한 정보를 분석하던 중 연구원들은 드로퍼 악성 코드(다른 악성 코드를 설치하는 파일)가 암호로 보호된 ZIP 압축 파일에 저장된 사실을 발견했다.

다양한 공격에 사용된 압축 파일의 암호가 서로 같았고 드로퍼 내에 암호가 저장되어 있었다. 자동화된 분석 시스템이 압축을 풀어 그 기능을 분석하지 못하도록 구현된 이러한 암호 보호 기능이 도리어 분석가들이 배후 범죄 조직의 정체를 밝히는 데 도움이 된 셈.

범죄자들이 감염된 시스템에서 그들의 흔적을 지우기 위해 사용한 특수한 방법과 안티 바이러스 제품의 탐지를 피하기 위해 사용한 일부 기법 또한 연구자들이 각 공격의 관련성을 찾는 단서가 됐다. 결과적으로 공격자를 알 수 없었던 수십 건의 공격이 단일 해커 조직의 소행인 것이 밝혀졌다.

샘플의 제작 날짜를 분석한 결과 오래된 공격은 2009년까지 거슬러 올라갔다. 소니를 대상으로 한 악명 높은 공격이 있던 해보다 7년이나 앞선 것이다. 새로운 악성 샘플의 수는 2010년 이후로 급격히 증가했다. 이것은 라자루스그룹이 안정적이고 오래 유지되고 있는 해커 조직임을 뜻한다. 분석에 따르면 라자루스그룹이 사용한 대부분의 악성 코드는 대한민국 표준 시간대(GMT+8 - GMT+9 사이)에 제작된 것으로 나타났다.

이창훈 카스퍼스키랩코리아 지사장은 “이 공격자는 충분한 기술을 갖추고 있을 뿐 아니라 데이터를 훔치거나 피해를 입히기 위해 사이버 공격을 감행하고자 하는 의지도 강력하다. 시스템을 교란시키는 허위 정보와 속임수를 사용해 이들은 지난 몇 년 동안 여러 공격을 아주 성공적으로 해냈다. 오퍼레이션블락버스터는 보안 업계 전체가 정보를 공유하고 서로 협력하는 태세를 갖춤으로써 방어 체계를 더욱 공고히 하고 해커들의 지속적인 공격을 저지할 수 있다는 좋은 본보기가 될 것”이라고 말했다.