-
북한 해킹그룹 국내 건설 및 기계 분야 공격 주의Technology/로그관리 및 분석(SIEM) 2024. 8. 8. 10:51
안녕하세요! No.1 IT솔루션 인스피언(주)입니다. 국가정보원과 검찰청, 경찰청, 국군방첩사령부, 사이버작전사령부 등 사이버안보 정보공동체에서 합동 사이버 보안 권고문을 배포했습니다. 권고문은 북한 해킹 조직이 우리나라의 건설·기계 분야를 대상으로 자행한 사이버 공격의 위험성을 알리고 피해 예방 및 완화를 위함입니다. 권고문에는 북한 정찰총국 산하에 있는 김수키, 안다리엘 해킹 조직을 주요 활동 주체로 보고 있습니다. 북한이 무단 절취한 우리나라의 건설 기계 및 도시 건설 분야 자료들은 공업 공장 건설과 지방 발전 계획에 사용할 것으로 추정하고 있습니다. 산하 두 개의 해킹 조직이 같은 시기에 동일한 정책적 목적을 달성하기 위해 특정 분야를 집중 공격하는 양상은 이례적으로 보며 이에 따라 철저한 대비가 필요하다고 밝혔습니다.
건설 및 기계 분야 해킹 공격 사례
CASE1. 직능단체 홈페이지 악성코드 유포
2024년 1월 북한 김수키 해킹 조직은 건설 분야 직능단체 홈페이지를 통해 악성코드를 유포하였습니다. 악성코드는 홈페이지 로그인 시 사용되는 보안인증 소프트웨어에 은닉되어 있었으며, 이로 인해 홈페이지에 접속한 지자체, 공공기관, 건설기업의 관련 업무 담당자의 PC가 감염되었습니다.
직능단체 홈페이지의 로그인 보안을 강화하기 위해 설치하는 필수 프로그램 중 하나를 변조하여 악성코드를 은닉하였습니다. 변조된 보안인증 소프트웨어 설치 파일이 실행되면 DLL 형태의 악성코드가 실행되고, 악성코드는 백그라운드 상태에서 정보 절취 기능을 수행해 사용자는 악성 행위를 인지하기 어렵습니다. 악성코드는 시스템 정보를 수집하고 사용자 화면을 캡처하는 기능을 보유하고 있습니다. 네이버 웨일, 구글 크롬, 마이크로소프트 엣지 등 브라우저에 저장된 정보인 자격 증명, 쿠키, 북마크, 히스토리 등을 수집할 수 있습니다. 감염 PC에 보관 중인 GPKI 인증서와 SSH 인증키, Sticky Note, 파일질라 정보를 절취하는 기능도 가지고 있습니다.
CASE2. 정보 보안 제품 취약점 이용한 기계 분야 공격
2024년 4월 북한 안다리엘 해킹 조직은 국내 정보 보안 소프트웨어에 대한 취약점을 악용하여 업데이트 파일을 악성코드로 교체 후 실행하는 수법을 사용하였습니다. 이로 인해 건설, 기계 업체 등에 원격제어 악성코드(DoraRAT)이 유포되었습니다. 공격자는 사전에 VPN 정보 보안 소프트웨어의 기능 중 클라이언트와 서버 간 통신 프로토콜에 존재하는 취약점을 공격에 사용했습니다. 이 취약점은 업데이트 시에는 인증 절차가 미흡했다는 점입니다. 클라이언트는 정상 VPN 서버가 아닌, 공격자의 C2 서버로 업데이트 파일을 요청하게 되는데, 공격자는 C2 서버에 VPN 서버로 위장한 프로그램을 동작시킬 수 있습니다. 최종적으로 C2 서버에서 원격제어 악성코드를 사용자 PC에 전송하게 되고, 클라이언트는 업데이트 파일로 인식하고 실행하게 됩니다. 이후 C2 서버로부터 명령코드를 수신해 악성 기능을 수행합니다.
해킹 피해 완화를 위한 방법
앞서 살펴보았던 북한의 해킹 사례는 개인의 부주의 때문에 발생한 문제가 아닌, 홈페이지와 정보 보안 소프트웨어의 취약점으로 인해 발생하였습니다. 운영체제 및 응용프로그램에 대한 최신 버전을 유지하고, 백신 업데이트와 실시간 탐지 설정으로 해킹 피해를 예방할 수 있습니다. 또한 조직 구성원을 대상으로 지속적인 보안 교육이 중요합니다. 기업 내 일반 구성원과 IT 보안 관련 팀을 대상으로 맞춤형 교육이 필요합니다.
참고기사
ㅣ🔗연합뉴스 https://www.yna.co.kr/view/AKR20240805069900017
ㅣ🔗보안뉴스 https://www.boannews.com/media/view.asp?idx=131836&kind=
빅데이터 로그관리 및 분석 솔루션 BizInsider PLUS
로그관리 및 분석 솔루션(SIEM) BizInsider PLUS는 방대한 IT 시스템에서 발생하는 로그 및 이벤트를 수집/저장/분석/관리하는 일원화된 로그 관리 솔루션입니다. 다양한 로그 수집 방법을 통해 실시간으로 로그를 수집하며, 로그의 유실 없이 원활한 수집이 가능합니다. 방대한 로그 데이터가 발생할 경우에도 빅데이터 분산 아키텍처 구성을 통해 병렬 확장이 가능하여 성능을 확보하고 유연한 확장성을 제공합니다. 이를 통해 모든 로그를 안전하게 수집, 저장, 분석, 관리할 수 있습니다. 실시간 로그 모니터링 기능으로 로그 수집 현황을 한눈에 확인할 수 있으며, 사용자 편의를 위한 대시보드로 로그에 대한 정보를 직관적으로 가시화합니다. 수집된 로그는 상관분석을 통해 다양한 유형의 침입 시도와 이상 징후를 파악할 수 있습니다. 이상 징후 이벤트 탐지 시에는 신속한 알람 발송으로 민첩하게 대응할 수 있습니다.
로그관리 및 분석 솔루션(SIEM) BizInsider PLU는 CC 인증과 GS 인증을 받아 우수한 제품임을 인증받았습니다. 제품은 조달청 온라인몰에서 구매하실 수 있으며, 제품 및 서비스에 대해 궁금한 사항이 있다면 홈페이지를 통해 문의해 주세요!
'Technology > 로그관리 및 분석(SIEM)' 카테고리의 다른 글
"사이버 침해사고 24시간 이내 신고" 정보통신망법 개정안 시행 (0) 2024.08.16 데이터 유출 비용 사상 최고 경신, 유출 비용 줄이는 방법 (0) 2024.08.12 파리올림픽 주의해야 할 사이버 공격 유형 (0) 2024.08.05 2024 상반기 결산 사이버 위협 동향 및 분석 (0) 2024.07.29 윈도 시스템 먹통 사태 악용한 사이버 공격 유의 (0) 2024.07.25