외교부와 행정안전부, KT와 LG유플러스 등 우리 정부기관과 기업을 대상으로 동시다발적인 사이버 공격을 했던 위협그룹이 기존에 알던 북한 해킹그룹 ‘김수키(Kimsuky)’가 아닌 중국 기반 세력인 것으로 나타났다.

사이버 보안 기업 S2W 내 위협인텔리전스센터(TALON)는 이 같은 내용을 세계적으로 가장 오래된 해킹 전문 전자 매거진 프랙(Phrack)에 ‘APT Down: The North Korea Files’이라는 제목으로 게재했으며 이는 이달에 진행된 데프콘(DEFCON) 행사장에서 배포됐다. 이 보고서에서 S2W는 공격자 ‘KIM’의 배후가 김수키 그룹일 가능성이 높지 않다고 분석, 이를 ‘UNSI-018’로 명명해 추적했다. 특히 유출된 데이터 중 공격자 업무 환경을 분석한 결과, 공격자는 중국어 기반 환경에 익숙한 인물로 추정했다.

◇정부, 통신사 등 해킹정보 다수 확인

S2W는 내부 데이터에 대한 상세 분석을 통해 한국 정부·기업 대상 해킹 정보가 다수 확인됐다. 정부기관에서는 웹메일 솔루션 관련 프로젝트 소스코드가 다수 존재하며, 외교부에서 사용되는 것으로 추정되는 설정 정보 및 소스 코드가 확인됐다. 데이터에서는 한국 행정전자서명 인증서 GPKI 관련 문서, 소스 코드, 인증서 파일 등이 확인됐다. 또 정부 클라우드 업무관리시스템 로그인 소스 코드 및 로그 기록과 함께 정부 관련 피싱 메일 발송 정황으로 추정되는 로그가 확인됐다.

또 국내 통신사에 대한 내부 계정 정보, 인증서 등이 확인됐다. 종합적으로 config.php 파일 내 안티바이러스(Anti-Virus) IP 블랙리스트 목록에서 특정 IP 대역이 포함된 소스코드와 함께 국내 주요 기업 도메인을 대상으로 하는 피싱 공격 및 도구가 확인됐다.

◇인프라 활용 패턴, 기존 김수키와 달라

공격자 ‘KIM’이 사용한 도메인 및 IP 등 피싱 인프라가 과거 김수키 그룹이 사용한 것과 일부 중복되는 부분이 확인됐지만. 인프라 사용 시기와 피싱 인프라 구성 방식은 기존 김수키 그룹이 사용하던 것과 다르다고 판단됐다.

또 evilgophish 오픈소스에서 제공하는 아파치 구성 파일을 사용해 피싱 인프라를 구성한 것으로 확인되지만, 김수키 그룹이 이 오픈소스를 사용한 이력이 확인되지 않았다. 공격자는 피싱 메일 전달 시 비콘 이미지를 전달해 메일의 열람 여부를 확인하도록 설계했는데, 이는 과거 김수키 그룹이 사용한 이력도 존재한다. 김수키 그룹이 사용하는 Troll Stealer 악성코드의 탈취 항목 중 GPKI 키가 포함되지만, 이 GPKI 키가 해당 악성코드에 의해 탈취됐다는 정황을 확인하기 어렵다고 판단했다.

특히 중국의 대표적 검색 엔진 바이두(Baidu), 사이버 보안 관련 블로그 CSDN, 프리버프(Freebuf), 비디오 스트리밍 플랫폼 에이시펀(AcFun), 빌리빌리(Bilibili) 등의 중국어 기반 플랫폼을 번역 없이 사용했다. 또 중국어 외의 언어는 구글 번역기를 통해 중국어 간체로 번역했다.

S2W 측은 “이밖에도 바이두 클라우드(Baidu Cloud)를 사용한 것이 확인됐으며, 이는 중국 신분증, 여권 등의 방식으로 신분 인증이 완료된 바이두 계정 보유자에게만 제공하는 제한된 클라우드 서비스인 것, 소스코드 내 주석과 개인적 사용 목적 문서를 중국어로 작성한 것 등을 바탕으로 이번 한국 정부기관 공격은 김수키가 아닌 중국 기반 세력의 행동으로 추정할 수 있다”고 밝혔다.