 |
북한 정찰총국 산하 해킹조직 '안다리엘'이 민감기술 탈취 등 위협 활동을 강화하자 한국, 미국, 영국 등이 공동 보안 권고문을 발표했다.
국가정보원은 26일 '북한 해킹조직, 정권의 군사·핵무기 개발을 위한 글로벌 해킹 활동'이란 권고문을 국가사이버안보센터 홈페이지에 게재했다.
국정원은 "미국연방수사국(FBI)과 공동 작성 기관들은 평양과 신의주에 소재하는 조선민주주의인민공화국 정찰총국 3국(이하 RGB)과 연계된 해킹 활동을 강조하기 위해 이번 사이버보안 권고문을 발표한다"고 밝혔다.
해당 권고문은 미국 FBI와 함께 한·미·영 3국의 7개 기관이 참여했다. 미국에서 사이버사령부(CNMF)·사이버인프라보안청(CISA)·국방사이버범죄센터(DC3)·국가안보국(NSA) 등 4개 기관, 영국 국가사이버안보센터(NCSC), 한국은 국정원과 경찰청이 참여했다.
권고문에 따르면, '안다리엘'은 세계 여러 산업 분야와 국가에 지속적인 위협을 가하고 있다. 방산·항공우주·핵·해양 등 공학 기관을 겨냥해 민감 기술, 지적 재산을 탈취한다. '안다리엘'의 활동 목표는 북한 정권의 군사·핵무기 개발이다.
'안다리엘'은 기업 서버에 침투해 주요 자료를 탈취·암호화 후 '몸값'을 요구하는 랜섬웨어 공격을 수행하면서 첩보활동 자금을 지원하고 있다.
실제 미 국무부는 최근 미국 병원·의료업체에 랜섬웨어 공격을 가한 북한 해커 림종혁에 대해 약 138억 원의 현상금을 걸기도 했다.
권고문에선 "공격자는 Log4j 등 기존에 알려진 취약점으로 웹 서버에 광범위한 공격을 가하고 웹쉘을 유포하고 중요 정보 및 응용 프로그램에 접속해 추가적 공격을 가능하게 한다"고 밝혔다.
'웹셀'은 공격자가 원격에서 웹 서버에 명령을 수행하도록 올리는 스크립트 파일을 말한다.
'안다리엘'은 미미캐츠(Mimikatz)와 같은 자격증명 절취 도구를 사용해 권한을 획득한다.
또 MS 윈도우즈 바로가기 파일(LNK) 또는 HTML 애플리케이션(HTA) 스크립트 파일이 포함된 'ZIP' 압축파일(암호설정 옵션)을 피싱 작업 시 첨부파일로 활용한다.
이 같은 공격을 방어하려면 주요 인프라 조직은 취약점에 대한 패치를 적시에 적용해 웹쉘로부터 웹 서버를 보호해야 한다. 특히 악성 활동에 대한 모니터링을 수시로 실시해 인증 및 원격 접근 보안을 강화해야 한다.
http://www.newdaily.co.kr/site/data/html/2024/07/26/2024072600226.html
