APT 공격 그룹이란 무엇인가요?
이번 글에서는 다양하게 발생되고 있는 APT 공격을 수행하는 공격 그룹과 공격의 주요 도구인 악성코드를 통해 어떻게 공격이 이루어지는지 알아보도록 하겠습니다.
공격자의 입장에서는 공격을 수행하면서 이용하는 다양한 공격 인프라(공격을 하기 위해 이용하는 해킹한 서버, 경유지로 활용되는 해킹된 단말 PC, 사용한 악성코드)를 확보하여 공격을 시작합니다. 이런 공격 인프라를 식별하기 위해서 공인 IP, 도메인, 호스트네임, URL, 공격에 사용한 악성코드 정보 등을 일정한 포맷으로 정리해 놓은 것을 공격 침해 지표, IOC(Indicators of compromise)라고 부릅니다.
이런 침해 지표를 이용하여 방화벽의 보안정책과, IPS 등에 룰에 추가하여, 또 다른 대상을 향한 공격에 재활용되는 것을 막기 위해 많은 보안 벤더에서 해당 정보를 공유하여 방어에 활용되고 있습니다. 그런데 이러한 공격 인프라는 쉽게 확보하고, 필요가 없어지면 쉽게 교체가 가능하기 때문에 이런 침해 지표의 유효기간은 짧기 때문에 계속적인 활용이 불가능하고, 공격집단을 식별하기에는 한계가 있습니다.
그래서 보안전문가들은 공격집단을 좀 더 정확하고 장기간 동안 추적하기 위한 새로운 지표를 개발하였는데, 그것은 공격자가 쉽게 바꾸기 힘든 기술요소를 지표로 활용하여 공격 그룹을 구분하는 것입니다. APT 공격의 각 단계를 수행하기 위해서는 다양한 공격 전술(Tactic)과 기법(Technique), 절차(Procedure)들이 사용되고 있는데 이 세 가지 공격수단의 각 앞 글자를 따서 TTP라고 부릅니다.
공격이 탐지된 이후에, 공격당한 시스템을 조사하다 보면, 각 단계별로 어떠한 TTP가 사용하였는지 확인할 수 있습니다. 공격 중 사용되는 다양한 TTP의 경우 공격을 준비하면서 타깃의 특성에 맞추어 오랜 시간 동안 학습하고 숙달하기 위해 자체 테스트 환경에서 연습을 수행하며, 필요하면 새로운 공격 툴을 직접 개발하기도 합니다.
그래서 이런 공격을 추적하는 입장에서는 침투 방식, 악성코드 유형, 공격 망 구성 방식 등의 전술 및 사용된 기술, 절차 등은 공격 그룹들이 쉽게 바꾸지 못하고 계속 사용하려는 특성을 이용하여 그룹의 특성을 나타내는 TTP들을 파악하여 공격 그룹을 구분할 수 있게 되었습니다.
인터넷 초창기의 공격자는 개인이나 2~3명의 그룹이 단순한 호기심이나 기술을 과시하는 아마추어적인 목적으로 해킹이 이루어졌다면, 현재의 환경은 거의 모든 사회인프라가 인터넷을 통해 연결되어 있고 컴퓨터를 통해 대부분의 업무가 이루어 지기 때문에 사회의 필수 인프라에 접근하여 조작/파괴하거나 높은 가치의 정보를 해킹을 통해 취득할 수 있는 환경이 되었습니다.
금전적인 이익을 추구하거나 국가의 후원을 받는 조직이 적성국가(적으로 간주되는 국가)나 경쟁국가를 공격하여 국가단위의 이익을 추구하는 방식으로 공격의 목적이 다양해지고 규모가 확장된 것입니다.
침해 조사 단계에서 TTP정보를 통해 확인되는 특정 그룹은 임시(TEMP) 그룹으로 분류하고 있다가 다른 침해 조사에서 같은 특성이 반복되어 나타날 경우, 식별된 그룹으로 명칭이 변경됩니다. TEMP 그룹에 대한 정보가 충분히 확보되면, 공격의 성격에 업무용 이메일 사기나 자금 탈취 행위 등 고도의 금융범죄를 일으키는 범죄그룹은 FIN으로 분류하고, 국가의 후원을 받아 스파이 활동에 주력하는 그룹은 APT라는 이름을 부여합니다.
아래 <그림 1>은 APT 공격을 탐지하여 침해 조사 중에 사용한 다양한 TTP정보의 특성을 바탕으로 식별된 APT 그룹을 국가별로 구분하여 표시한 내용입니다. 중국을 시작으로, 이란, 북한, 러시아, 미국, 우즈베키스탄, 베트남 등 다양한 국가의 후원을 받는 것으로 추측되는 공격 그룹이 나열되어 있습니다.
그럼 우리나라와 연관이 있을 법한 북한과 중국의 공격 그룹을 먼저 소개하도록 하겠습니다. 먼저 북한의 APT38그룹으로 2014년 이후 13개국 이상에서 은행, 금융기관을 공격하여 자금 탈취를 주목적으로 활동하는 그룹으로 파괴적인 악성코드를 이용하여 금융기관에서 수억 달러의 자금을 탈취하려는 시도를 하였습니다.
주로 은행을 대상으로 정교한 공격을 펼치는데, 장기적인 계획 하에 자금 탈취를 시도하기 전에 피해 환경에 장기간 숨어 있으면서, 맞춤형 개발도구를 사용하며, 침해 시스템을 파괴하려는 의도를 가지고 있는 것으로 알려져 있습니다. 북한 정권에 대한 강화된 경제 제재로 인한 어려움을 금융시스템 공격을 통해 만회하려는 충분한 동기가 있는 것으로 파악되고 있습니다.
아래 <그림 2>는 APT38그룹을 조사하면서 각 공격 단계별로 사용한 TTP를 표시한 목록입니다. 각 단계별로 사용 가능한 기술과 절차는 굉장히 다양하지만 한 그룹이 사용하는 기술과 절차는 한정적입니다. 그래서 각 단계별로 사용한 기술과 절차를 통해 공격 그룹의 구분이 가능한데, 이런 특성을 이용해서 공격 그룹을 식별하고 추적이 가능한 것입니다.
다음으로 중국 정부의 후원을 받는 것으로 추정되는 APT41그룹입니다. 이 그룹은 중국 정부의 지원을 받으며 스파이 활동을 벌이고 금전적 목적을 위해 활동하는 공격 그룹으로 정부의 지원을 받기 전까지 비디오 게임산업을 표적으로 활동한 그룹이었습니다. 이 그룹은 소프트웨어 개발사를 공격하여 정식으로 출시되는 정상적인 프로그램의 파일에 악성코드를 심는 방식으로 공격을 진행하였고 금전적 이익을 목적으로 하는 영리 추구가 주목적이었습니다.
식별된 초기에는 전문 컨설팅, 통신, 뉴스, 미디어 조직을 대상으로 공격하는 정부 후원그룹과는 구분되었으나, 최근 정부 후원그룹과 비슷한 목적으로 스파이 활동을 주목적으로 하는 그룹으로 성격이 바뀌면서, 기존의 독립적인 그룹이 정부의 후원을 받기 시작한 것으로 추정됩니다. 이 그룹이 사용하는 TTP내역을 아래 <그림 3>과 같이 기술하였습니다. 2012년 최초로 식별된 이후로 다양한 기술과 절차를 사용하여 공격한 것을 확인할 수 있습니다.
이 외에도 러시아, 이란 등의 후원을 받는 것으로 의심되는 공격 그룹이 다수 식별되었습니다. 러시아의 경우 NATO, 동유럽, 우크라이나 및 에너지 부분에 대한 공격이 지속되었습니다. 또한 미국과 프랑스 선거를 표적으로 하고, 평창 동계올림픽에 대한 공격으로 능력을 과시하였습니다. 러시아 APT 그룹에 대한 공개적인 노출과 법적인 기소에도 불구하고, 러시아의 전략적 이익에 따라 정치, 국제기관을 대상으로 전 세계적인 사이버 공격을 지속적으로 수행하고 있습니다.
이란의 경우 자국의 핵발전소가 이스라엘의 사이버 공격으로 파괴는 공격을 받은 이후 방어적 성격으로 2011년 국가 사이버사령부를 창설하였습니다. 비대칭 전력으로 미국의 제재에 대한 보복 및 전쟁억제, 정치적 영향력 및 경쟁력 확보 등을 목적으로 활동하였습니다. 이후 미 방위산업 관련 조직에 대한 정부 수집 활동 등 다양한 공격 그룹(APT33,34,35,39)을 양성하여 수동적인 공격에서 능동적이며 공세적인 공격 수준으로 비약적으로 발전하였습니다.
마지막으로 소개할 그룹은 한국을 주요 공격 목표로 하는 북한의 공격 그룹으로 추정되는 김 수키(Kimsuky)라는 그룹입니다. 국내에는 10,799명의 개인정보와 원자력발전 제어 프로그램 자료, 원전설계도 등이 유출된 2014년 한수원 해킹 공격을 주도하였다고 추정되고 있습니다. 사회 공격 기법의 공격 방식을 사용하고, 다양한 국내/외 사회적 이슈 및 북한 관련 이슈들을 이용하여 활발한 공격을 진행하고 있습니다.
아래 <그림 4>와 같이 최근에는 코로나 19 관련 문서로 사칭한 워드 매크로 악성코드를 첨부하여 '코로나 바이러스 관련 이사장님 지시사항'이라는 제목으로 악성메일을 유포한 바 있습니다. 또한 21대 국회의원 선거 문서로 사칭한 '21대 국회의원 선거 관련. docx', '외교문서 관련(이재춘 국장). docx' 파일 등으로 위장하거나 한국과 미국의 대북 관련 분야에 종사하는 인물을 대상으로 파일을 열어볼 경우 정보유출이 이루어지는 공격이 발견되는 등 정보 탈취를 주목적으로 하는 그룹으로 알려지고 있습니다.