자격증과 세미나, 프로그램 이야기를 주저없이 써봅니다.

Since 2008. 10.

해킹, 보안

Kaspersky의 북한 의심 APT 공격에 대한 자료 분석

럭키맨 운수 2013. 9. 17. 23:22

“The ‘Kimsuky’ Operation: A North Korean APT?”에 대한 정리 및 분석 보고서입니다. 9월 12일 카스퍼스키랩은 한국의 세종연구소, 한국국방연구원, 통일부, 현대해상, 통일을 생각하는 사람들의 모임 등에 대한 사이버 첩보 작전을 모니터링 한 결과 ‘The Kimsuky Operation: A North Korean APT?’란 보고서를 발표했습니다. 이 보고서는 북한의 남한 관련 기관에 대한 첩보활동 목적의 악성코드로 추정하고 리포트했습니다. 자료는 하단에 첨부파일 클릭하시면 있습니다.

 

보안연구기업 HNS는 카스퍼스키랩의 보고서를 상세 분석한 리포트를 자사 블로그(http://blog.hacknsecurity.com)를 통해 공개했습니다. 분석 리포트에 따르면, “전체 공격 대상의 리스트는 알려지지 않았으며 K사가 발견했다고 하는 국내 타깃 11개 기관 중 일부 조직의 이름만 공개한 것은 영업 전략과 관련되어 있는 것으로 판단되며 모니터링 방법은 공개하지 않았다”고 평했습니다.

 

이 분석 보고서는 카스퍼스키랩의 보고서가 전반적으로 공격자에 대한 정확한 정보임을 확신하지 못하고 추정에 근거하고 있으며 공격자 IP 10개를 찾았다고 하지만 이 또한 지린성, 랴오닝성 등 북한과 가까운 지역에 위치한 것을 통해 북한의 공격으로 추정하고 있다고 평했습니다.

 

내용 요약

 

이 보고서는 Kaspersky의 Dmitry Tarakanov가 작성하여 우리나라 시간으로 9월 12일 발표한 “The ‘Kimsuky’ Operation: A North Korean APT?”를 정리 및 분석한 것으로, Kaspersky는 지난 몇 달 동안 한국의 세종연구소, KIDA(한국국방연구원), 통일부, 현대해상, ‘통일을 생각하는 사람들의 모임’ 등에 대한 사이버 첩보 작전을 모니터링해왔음.

 

‘Kimsuky’ Operation이라고 이름을 붙인 것은 수집된 정보가 전송되는 메일 계정이 ‘김숙향(Kimsukyang)’이라는 이름으로 등록되어 있기 때문임.

 

Kaspersky가 이 작전을 북한의 행위로 추정하는 근거는 다음과 같음

 

1. 악성코드 컴파일 경로에 ‘공격’이라는 문자열이 발견됨
2. 북한과 연결지을 수 있는 정부기관, 연구소, 기업 등이 그 대상이 됨
3. 한국에서 주로 사용되는 안랩의 방화벽이 공격 대상이 되고 있음
4. hwp 파일을 수집함
5. 수집된 정보가 전송되는 이메일 계정 등록자가 북한식 이름 ‘김숙향’으로 되어 있음
6. 공격자의 IP가 북한 근처 지역인 중국 지린성, 랴오닝성 지역의 ISP에서 제공하는 IP임

#WI-13-028.pdf
0.75MB