2021년 1월 어느 날 아침, 보안 연구원 주크 아브라함(Zuk Avraham)은 트위터에서 별다른 경고가 없는 평범한 메시지를 받았다. 장구오(Zhang Guo)라는 인물이 “안녕하세요”라고 보낸 메시지였다. 짧고 요청되지 않은 메시지 자체는 그리 이상한 메시지가 아니었다. 위협 감시 기업 젝옵스(ZecOps)와 바이러스 예방 기업 짐페리움(Zimperium)을 창업한 아브라함은 평소 많은 랜덤 메시지를 받는다.
장구오라는 인물은 트위터 프로필을 통해 자신이 웹 개발자이자 버그 퇴치 전문가라고 주장했다. 그의 프로필에는 트위터 계정 생성일자가 2020년 6월이며, 팔로워 수가 690명이라고 나와 있었다. 믿을 수 있는 계정이라는 의미였다. 아브라함은 그날 밤, 짧게 ‘안녕하세요’라고 답변을 보냈다. 그리고, 장구오는 즉각 답변을 보냈다. 그는 “답변 감사합니다. 몇 가지 질문을 해도 될까요?”라고 보냈다. 이어, 윈도와 크롬의 취약점에 관심이 있다고 밝히며, 아브라함에게 보안 취약점 연구를 하는지 물어보았다. 그리고, 아브라함은 이때 대화를 중단했다. 그는 와이어드에 “이후 답변을 하지 않았다. 바빴기 때문이다”라고 말했다.
장구오, 그리고 그와 관련된 이와 트위터에서 대화를 나눈 이는 아브라함만이 아니다. 장구오를 비롯해 그와 관련된 인물의 계정 모두 중단되지 않았다. 이 때문에 미국과 유럽, 중국의 보안 전문가 최소 수십 명이 최근 몇 달간 아브라함과 비슷한 메시지를 받았다. 그러나 1월 25일(현지 시각), 구글 위협 분석 그룹(Threat Analysis Group)이 밝힌 바에 따르면, 해당 트위터 메시지는 버그 퇴치에 관심이 있는 이가 전송한 것이 아니었다. 바로 북한 정부 소속 전문 해커 집단이었으며, 거물급 사이버 보안 전문가의 보안을 공격하고 연구 자료를 탈취하도록 고안된 사회적 엔지니어링 공격의 한 부분이었다.
북한 해커 집단의 행동은 트위터에서만 발생한 것이 아니었다. 텔레그램과 키베이스, 링크드인, 디스코드 등에도 똑같이 계정을 생성해, 기존 보안 연구원에게 잠재적인 연구 협력 제안 관련 메시지를 보냈다. 모두 실제 기업에서 볼 법한 일종의 취약점 연구를 완료한 정상적으로 보이는 블로그를 개설했다. 블로그 주인은 공격 표적이 된 상대의 보안 전문성에 따라 마이크로소프트 윈도나 크롬에서 보안 결함을 발견했다고 주장했다. 북한 해커는 직접 연구했다고 주장하는 보안 취약점의 악용 위험성을 확인하기 위해 도움이 필요하다고 말했다.
모두 표면적인 모습이었다. 모든 정보 교환에는 피해자가 연구 프로젝트로 위장한 멀웨어를 다운로드하거나 멀웨어가 포함된 블로그 게시글 링크를 클릭하도록 한다는 공통의 목표를 지니고 있었다. 구글이 설명한 바와 같이 공격 대상이 된 보안 연구원은 신종 사회적 엔지니어링 공격 수단이었다.
구글 위협 분석 그룹 소속 연구원 아담 바이드만(Adam Weidemann)은 블로그를 통해 “북한 해커 집단 소유 계정과 소통을 하거나 블로그 페이지에 방문한 적이 있다면, 시스템 검토를 권장한다. 지금까지 북한 해커 집단이 사이버 공격의 일환으로 윈도 시스템을 표적으로 삼은 사례만 확인되었다”라고 작성했다.
[사진=Freepik]
처음, 해커는 마이크로소프트 비주얼 스튜디오 프로젝트를 피해자와 공유하면서 멀웨어를 유포하려 했다. 비주얼 스튜디오는 소프트웨어 작성용 개발 툴이다. 해커는 멀웨어로 작업하고 있다고 주장한 공격 소스코드를 몰래 보냈다. 피해자가 해킹 공격 목적을 지닌 프로젝트를 다운로드하고 열었을 때, 악성 라이브러리가 해커의 명령과 소통하기 시작하면서 서버를 제어한다.
악성 블로그 링크는 다른 잠재적 감염 경로를 제공했다. 링크를 한 번 클릭하면, 피해자는 자신도 모르는 사이에 해커의 기기 원격 접근 대상이 된다. 피해자의 보고에 따르면, 모두 윈도10과 크롬 최신 버전을 실행했다. 해커가 이전에는 알려지지 않은 제로데이(zero-day) 공격을 이용해, 크롬 접근 권한을 얻었음을 시사하는 부분이다.
아브라함은 해커가 짧은 트위터 메시지 대화에서 해커가 자신을 속이지는 않았지만, 연구 관련 코드를 나타내는 것처럼 위장한 해커의 블로그 게시글 중 하나를 클릭했다고 말한다. 아브라함은 보안 악화 징조가 전혀 보이지 않는 자신의 독립된 안드로이드 기기를 이용해 해커의 블로그 게시글에 접속했다고 말한다. 그러나 가짜 블로그의 분석 내용이 당시 경고 표시가 되었다. 아브라함은 해커가 사이버 공격 개시 목적으로 배치한 악성코드 페이로드와 관련, “셸코드(shellcode)를 보고 이상이 있다는 점을 의심했다. 다소 이상하고 의문스러웠다”라고 말했다.
구글이 블로그에 북한발 해킹 관련 게시글을 올린 뒤, 수많은 사이버 보안 연구원이 사이버 공격의 표적이 됐다는 사실을 깨닫고, 해커와 소통한 내용을 공유했다. 몇몇 전문가는 악성 링크를 클릭하거나 비주얼 스튜디오 프로젝트를 다운로드했다고 밝혔다. 그러나 대부분이 가상 기계, 즉, 컴퓨터 내에서 시뮬레이션 된 컴퓨터를 사용해 탐색하는 등 예방 조치를 취했다고 말했다. 이는 많은 스케치 링크와 파일을 당연한 것으로 보고, 해당 문제 중 어떤 것도 보안 조치를 피하지 못하도록 해야 하는 보안 연구원의 표준 관행이다.
하지만, 해커의 공격이 얼마나 성공했는지는 확실하지 않다. 북한발 해킹 공격이 표적을 두고 개시됐지만, 상대적으로 광범위한 심각성을 지니고 있다. 일례로, 정상적으로 보이는 블로그를 개설해, 해커는 보안 공격이 이루어지는 과정을 설명하는 것처럼 보이는 유튜브 영상을 이용해 공격 속도를 높였다. 또, 어느 한 해커의 블로그 링크는 인기 정보보안 광고에서 제법 많은 ‘좋아요’ 수를 기록했다.
많은 연구원이 보안 전문가를 대거 해킹 표적으로 삼는 것은 매우 뻔뻔하면서도 독특한 행동이지만, 한편으로는 북한의 해킹 자체가 기술적으로 뛰어난 공격은 아니라고 말한다. 그러나 많은 해커가 크롬이 자칫하면 제로데이 취약점에 노출되도록 한 것이 놀랍다고 말한다. 위협 정보 기업 시스코 탈로스의 기술 총괄 워렌 머서(Warren Mercer)가 블로그를 통해 주목한 바와 같이 해커는 영어를 완벽히 이해하고, 해킹 표적이 된 대상의 정상적인 근무시간에 맞추어 접근했다.
보안 업계의 역동성을 이용한다는 측면에서 지능적인 접근 방식이었다. 협력은 보안 연구 및 방어에서 중요한 수단이다. 모두 원격으로 근무한다면, 전 세계적인 공격 추세와 해커의 활동을 더 크게 보는 것이 거의 불가능하다. 많은 연구원이 해킹 공격과 모방 범죄 집단이 연구원에게 필요한 활동에 막대한 영향을 끼칠 수 있다고 우려한다.
구글의 북한 해킹 공격 소식 발표에 이어, 카스퍼스키 연구소(Kaspersky Labs) 소속 연구원 코스틴 라이우(Costin Raiu)가 2월 1일(현지 시각), 이번 사이버 공격에서 사용된 도구 중 하나는 북한의 악명높은 해킹집단 라자루스(Lazarus)가 사용하는 것과 같다고 발표했다.
북한 해커는 미국 국가안전보장국(NSA)의 해커 데이브 아이텔(Dave Aitel)도 공격 대상으로 삼았다. 그러나 아이텔은 북한 해커의 수법에 넘어가지 않았다. 그는 장구오의 계정이 윈도의 민감 데이터 보안 악화 연구를 함께 하자고 제시했을 때, 농담으로 “개인적으로 연구에 참여할 수준이 되지 않는다. 그러나 제안을 해준 것은 고맙다. 개인적으로 제안한 연구를 하기에는 보안 실력이 낮다”라고 말했다. 아이텔은 여전히 북한발 해킹 공격으로 모든 수준에서 교훈을 얻을 수 있다고 말한다.
아이텔은 “미국 정부는 무엇을 하고 있는가? 단순한 감지로 끝난 것이 아니라 응답도 하고, 소통까지 했다”라고 말했다.
많은 연구원이 이미 북한의 해킹 공격으로부터 스스로 보호하기 위한 사전 조치를 취하고 있다고 말한다. 혹은 이미 표적이 돼, 보안을 주의하고 있다고 말한다. 그러나 이번 북한발 해킹 공격은 경계와 신뢰를 유지하면서 검증해야 한다는 사실을 분명히 상기시켜 준다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Freepik]](/news/photo/202102/2907_3895_4144.jpg)
뉴스레터 신청