Offcanvas

������������

소니 해커 기소문을 통해 짚어보는 IT 보안 교훈 5가지

2018년 8월, 미 법무부(DoJ)는 소니 해킹과 워너크라이 랜섬웨어의 생성, 배포 혐의를 받고 있는 북한 정보공작원 박진혁(Park Jin Hyok)에 대한 기소장을 공개했다. 170페이지가 넘는 이 기소장은 미국 로스앤젤레스 FBI의 네이썬 쉴즈가 작성했으며 사이버공격 방식을 알아내기 위해 수사 당국이 사용한 포렌식 분석을 잘 보여주고 있다. 박진혁의 해킹 단체는 보안 전문가들 사이에서 여러 이름으로 불리고 있다. 라자러스 그룹(Lazarus Group), APT37, Lab 110, Group 123, 히든 코브라(Hidden Cobra), 니켈 아카데미(Nickel Academy), 그리고 리퍼(Reaper) 등이 그것이다. 이 가운데 일부는 해당 해킹 단체가 생성한 악성코드 이름에서 따온 것도 있다. 기소장은 서두에서 이 북한 해커 집단이 지난 6년 동안 각종 사이버 공격의 중심에 있었다고 주장했다. 물론 북한 정부 측은 박진혁의 존재 자체를 부인하고 있으며, 그가 기소된 사건들은 북한 정부와는 "전혀 관계가 없다"고 반박했다. 하지만 이번 기사는 박진혁이나 북한 정부의 유무죄 여부를 판단하려는 것이 아니다. FBI가 수사 과정에서 찾아낸 자료들과, 이 사건들을 통해 기업의 CISO 및 IT 관리자가 보안에 대해 배우고 명심해야 할 것들을 알아 보려고 한다. FBI가 소니 해커를 찾아낸 방법 이 기소문은 법적 관점에서 읽을 것이 아니라, 북한 정부가 네트워크에 침투하기 위해 얼마나 혈안이 되어있는 지를 중점적으로 봐야 한다. 소니 해킹 사건에 대해 FBI가 밝혀 낸 사실들은 다음과 같다. FBI는 박진혁의 움직임을 디지털로 추적할 수 있었다. 박진혁은 중국 국경 지대에서 북한 정부의 유령회사이자 군사 해킹 작전으로 알려진 조선 엑스포(Chosun Expo) 직원으로 일하고 있었다. 소니 해킹이 시작되기 직전 그는 북한으로 돌아갔다. 우선 FBI는 악성코드의 여러 부분들을 조직적으로 해체, 분석해 ...

소니 북한 라자러스 워너크라이 박진혁

2018.10.04

2018년 8월, 미 법무부(DoJ)는 소니 해킹과 워너크라이 랜섬웨어의 생성, 배포 혐의를 받고 있는 북한 정보공작원 박진혁(Park Jin Hyok)에 대한 기소장을 공개했다. 170페이지가 넘는 이 기소장은 미국 로스앤젤레스 FBI의 네이썬 쉴즈가 작성했으며 사이버공격 방식을 알아내기 위해 수사 당국이 사용한 포렌식 분석을 잘 보여주고 있다. 박진혁의 해킹 단체는 보안 전문가들 사이에서 여러 이름으로 불리고 있다. 라자러스 그룹(Lazarus Group), APT37, Lab 110, Group 123, 히든 코브라(Hidden Cobra), 니켈 아카데미(Nickel Academy), 그리고 리퍼(Reaper) 등이 그것이다. 이 가운데 일부는 해당 해킹 단체가 생성한 악성코드 이름에서 따온 것도 있다. 기소장은 서두에서 이 북한 해커 집단이 지난 6년 동안 각종 사이버 공격의 중심에 있었다고 주장했다. 물론 북한 정부 측은 박진혁의 존재 자체를 부인하고 있으며, 그가 기소된 사건들은 북한 정부와는 "전혀 관계가 없다"고 반박했다. 하지만 이번 기사는 박진혁이나 북한 정부의 유무죄 여부를 판단하려는 것이 아니다. FBI가 수사 과정에서 찾아낸 자료들과, 이 사건들을 통해 기업의 CISO 및 IT 관리자가 보안에 대해 배우고 명심해야 할 것들을 알아 보려고 한다. FBI가 소니 해커를 찾아낸 방법 이 기소문은 법적 관점에서 읽을 것이 아니라, 북한 정부가 네트워크에 침투하기 위해 얼마나 혈안이 되어있는 지를 중점적으로 봐야 한다. 소니 해킹 사건에 대해 FBI가 밝혀 낸 사실들은 다음과 같다. FBI는 박진혁의 움직임을 디지털로 추적할 수 있었다. 박진혁은 중국 국경 지대에서 북한 정부의 유령회사이자 군사 해킹 작전으로 알려진 조선 엑스포(Chosun Expo) 직원으로 일하고 있었다. 소니 해킹이 시작되기 직전 그는 북한으로 돌아갔다. 우선 FBI는 악성코드의 여러 부분들을 조직적으로 해체, 분석해 ...

2018.10.04

"워너크라이 랜섬웨어, 북한 관련 가능성 있다"…카스퍼스키, 시만텍

보안 연구원들이 지난 12일 워너크라이(WannaCry) 랜섬웨어 공격을 조사한 결과, 한 북한 해킹 그룹과 연관이 있을 가능성을 제시하는 단서를 발견했다. 워너크라이 초기 버전은 라자러스 그룹(Lazarus Group)에 의해 사용된 해킹 툴에 사용된 코드를 공유하고 있다. 하지만 이는 결정적인 증거가 아니다. 그러나 보안 연구원들은 워너크라이의 초기 버전과 라자러스 그룹(Lazarus Group)가 사용하는 해킹 툴 간의 유사성에 주목했다. 2014년 소니 해킹과 최근 은행 강도 사건과 연루된 것으로 강력한 혐의를 받고 있는 이 그룹을 보안 연구원들은 북한을 위해 일하고 있다고 추정한다. 분명, 2월에 발견된 워너크라이의 변종은 라자러스 그룹이 2015년에 사용했던 해킹 툴과 일부 코드를 공유하고 있다. 구글 연구원 닐 메타는 이 유사성을 파악하고 15일 보안업체인 카스퍼스키랩을 비롯한 다른 전문가에게 검증받았다. 카스퍼스키랩은 블로그를 통해 "현재 워너크라이 구버전에 대해서는 좀더 많은 연구가 필요하다. 우리는 이것이 이번 공격에 대한 비밀의 일부를 풀 수 있는 열쇠라고 믿는다"고 말했다. 15일 시만텍 또한 워너크라이를 어둠의 그룹과 연계할 수 있는 단서를 발견했다고 밝혔다. 시만텍 기술 책임자 비크람 타쿠르(Vikram Thakur)에 따르면, 라자러스가 사용한 해킹 툴로 해킹된 기기에서 이번 랜섬웨어 초기버전을 발견했다. 타쿠르는 "이 툴이 발견되자마자 워너크라이 파일들이 표시되는 걸 볼 수 있었다"고 말했다. 그러나 이 워너크라이 샘플은 모두 이전 변종이며, 12일 전세계 윈도우 시스템을 감염시킨 것과는 다르다. 시만텍은 최신 워너크라이 샘플 또한 라자러스 그룹의 해킹 툴과 코드를 공유하는지 조사하고 있다. 그러나 코드가 겹친다 하더라도 별개의 해커가 어둠의 그룹에서 사용했던 과거 악성코드로부터 코드를 훔쳐낼 가능성도 있기 때문에 단정할 수는 없다. 보...

랜섬웨어 라자러스 워너크라이 WannaCry

2017.05.17

보안 연구원들이 지난 12일 워너크라이(WannaCry) 랜섬웨어 공격을 조사한 결과, 한 북한 해킹 그룹과 연관이 있을 가능성을 제시하는 단서를 발견했다. 워너크라이 초기 버전은 라자러스 그룹(Lazarus Group)에 의해 사용된 해킹 툴에 사용된 코드를 공유하고 있다. 하지만 이는 결정적인 증거가 아니다. 그러나 보안 연구원들은 워너크라이의 초기 버전과 라자러스 그룹(Lazarus Group)가 사용하는 해킹 툴 간의 유사성에 주목했다. 2014년 소니 해킹과 최근 은행 강도 사건과 연루된 것으로 강력한 혐의를 받고 있는 이 그룹을 보안 연구원들은 북한을 위해 일하고 있다고 추정한다. 분명, 2월에 발견된 워너크라이의 변종은 라자러스 그룹이 2015년에 사용했던 해킹 툴과 일부 코드를 공유하고 있다. 구글 연구원 닐 메타는 이 유사성을 파악하고 15일 보안업체인 카스퍼스키랩을 비롯한 다른 전문가에게 검증받았다. 카스퍼스키랩은 블로그를 통해 "현재 워너크라이 구버전에 대해서는 좀더 많은 연구가 필요하다. 우리는 이것이 이번 공격에 대한 비밀의 일부를 풀 수 있는 열쇠라고 믿는다"고 말했다. 15일 시만텍 또한 워너크라이를 어둠의 그룹과 연계할 수 있는 단서를 발견했다고 밝혔다. 시만텍 기술 책임자 비크람 타쿠르(Vikram Thakur)에 따르면, 라자러스가 사용한 해킹 툴로 해킹된 기기에서 이번 랜섬웨어 초기버전을 발견했다. 타쿠르는 "이 툴이 발견되자마자 워너크라이 파일들이 표시되는 걸 볼 수 있었다"고 말했다. 그러나 이 워너크라이 샘플은 모두 이전 변종이며, 12일 전세계 윈도우 시스템을 감염시킨 것과는 다르다. 시만텍은 최신 워너크라이 샘플 또한 라자러스 그룹의 해킹 툴과 코드를 공유하는지 조사하고 있다. 그러나 코드가 겹친다 하더라도 별개의 해커가 어둠의 그룹에서 사용했던 과거 악성코드로부터 코드를 훔쳐낼 가능성도 있기 때문에 단정할 수는 없다. 보...

2017.05.17

카스퍼스키 랩 "은행 연쇄 해킹 집단, 북한 IP 사용했다"

최근 은행을 해킹해 돈을 빼가는 사이버 범죄가 연쇄적으로 발생하는 가운데, 한 보안 업체가 이 해커 집단의 정체를 밝힐 단서를 발견했다고 주장했다. '라자러스 그룹(Lazarus Group)'으로 불리는 이들 해커 집단은 지난 2월 방글라데시 중앙 은행에서 스위프트(SWIFT) 소프트웨어를 이용해 8100만 달러를 빼내는 등 일련의 해킹 사건의 배후로 거론되고 있다. 이런 가운데 보안 업체 카스퍼스키 랩(Kaspersky Lab)은 이 해커 집단이 최근 심각한 실수를 저질렀다고 3일 밝혔다. 유럽에서 해킹을 시도하면서 서버의 로그를 삭제하는 데 실패한 것이다. 이 로그를 보면 북한 IP 주소를 이용해 서버에 접속했음을 알 수 있다. 북한은 인터넷 접속이 매우 제한돼 있다는 것을 고려하면 매우 이례적인 것이다. 이 IP 주소는 라자러스 그룹이 북한과 밀접하게 관련돼 있음을 보여주는 새로운 증거이다. 카스퍼스키 랩은 지난해에도 비슷한 분석을 내놓은 바 있다. 2014년 소니 해킹에 사용된 코딩 기술과 은행 해킹에 사용된 것 사이에 유사성이 있다는 것이다. 소니 해킹 사건 당시 미국 정부는 북한의 소행이라고 비난한 바 있다. 카스퍼스키 랩은 자사 블로그를 통해, 복구한 서버 로그를 보면 북한과 라자러스 간의 직접적인 연결을 볼 수 있다고 주장했다. 또한 라자러스는 은행 외에도 카지노와 금융 솔루션 업체, 디지털 통화 전문업체 등을 해킹 대상으로 주목해 왔다고 밝혔다. 라자러스가 서버 로그를 삭제하지 못한 것은 암호통화인 '모네로(Monero)'를 생성하는 소프트웨어를 설치했기 때문으로 보인다. 카스퍼스키 랩 측은 "이 소프트웨어는 시스템 자원을 극단적으로 많이 사용해 시스템 전체가 응답하지 못하는 상태가 됐다"라고 설명했다. 그러나 카스퍼스키 랩은 라자러스의 범죄 활동의 배후에 북한 정부가 있다고 단정하지는 않았다. 업체는 "아직은 추론 단계이다. 다른 연구자들처럼 우리도...

해킹 은행 북한 카스퍼스키 랩 라자러스 Lazarus

2017.04.04

최근 은행을 해킹해 돈을 빼가는 사이버 범죄가 연쇄적으로 발생하는 가운데, 한 보안 업체가 이 해커 집단의 정체를 밝힐 단서를 발견했다고 주장했다. '라자러스 그룹(Lazarus Group)'으로 불리는 이들 해커 집단은 지난 2월 방글라데시 중앙 은행에서 스위프트(SWIFT) 소프트웨어를 이용해 8100만 달러를 빼내는 등 일련의 해킹 사건의 배후로 거론되고 있다. 이런 가운데 보안 업체 카스퍼스키 랩(Kaspersky Lab)은 이 해커 집단이 최근 심각한 실수를 저질렀다고 3일 밝혔다. 유럽에서 해킹을 시도하면서 서버의 로그를 삭제하는 데 실패한 것이다. 이 로그를 보면 북한 IP 주소를 이용해 서버에 접속했음을 알 수 있다. 북한은 인터넷 접속이 매우 제한돼 있다는 것을 고려하면 매우 이례적인 것이다. 이 IP 주소는 라자러스 그룹이 북한과 밀접하게 관련돼 있음을 보여주는 새로운 증거이다. 카스퍼스키 랩은 지난해에도 비슷한 분석을 내놓은 바 있다. 2014년 소니 해킹에 사용된 코딩 기술과 은행 해킹에 사용된 것 사이에 유사성이 있다는 것이다. 소니 해킹 사건 당시 미국 정부는 북한의 소행이라고 비난한 바 있다. 카스퍼스키 랩은 자사 블로그를 통해, 복구한 서버 로그를 보면 북한과 라자러스 간의 직접적인 연결을 볼 수 있다고 주장했다. 또한 라자러스는 은행 외에도 카지노와 금융 솔루션 업체, 디지털 통화 전문업체 등을 해킹 대상으로 주목해 왔다고 밝혔다. 라자러스가 서버 로그를 삭제하지 못한 것은 암호통화인 '모네로(Monero)'를 생성하는 소프트웨어를 설치했기 때문으로 보인다. 카스퍼스키 랩 측은 "이 소프트웨어는 시스템 자원을 극단적으로 많이 사용해 시스템 전체가 응답하지 못하는 상태가 됐다"라고 설명했다. 그러나 카스퍼스키 랩은 라자러스의 범죄 활동의 배후에 북한 정부가 있다고 단정하지는 않았다. 업체는 "아직은 추론 단계이다. 다른 연구자들처럼 우리도...

2017.04.04

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.31