북한 배후 해커그룹 '안다리엘' 10년 추적기

"10년동안 한국에서만 활동한 해커조직 '안다리엘그룹(Andariel Group)'이 올해 들어 암호화폐거래소를 겨냥한 공격을 시도한 것으로 파악됐다. 그간 군 전산망과 방산업체 인프라만 노렸는데 (활동 방향을) 좀 바꿨나 싶었다."

안랩시큐리티대응센터(ASEC) 차민석 수석이 올해 달라진 해커조직 안다리엘그룹의 국내 활동 양상을 언급해 주목된다. 그는 지난 11일 국제 정보보호컨퍼런스 주제강연을 통해 2008년부터 올해 상반기까지 이어진 안다리엘그룹 활동을 분석한 결과를 발표했다.

안랩 ASEC 분석에 따르면, 안다리엘그룹은 북한 배후 해커조직으로 알려진 라자루스(Lazarus)의 하위 그룹이다. 2008년 군 전산망 해킹, 2013년 다크서울(3·20 전산망 장애), 2014년과 2015년에 걸쳐 발생한 '오퍼레이션 블랙 마인' 등 사이버공격 사건과 관련이 있다.

차 수석은 "안다리엘그룹은 10년동안 한국에서만 활동해 왔지만 ATM 기기 해킹이나 군의 작전계획같은 군사기밀 유출 등 사례로 외국에도 알려진 유명한 해커조직으로, 최근 국내 암호화폐거래소 이용자와 정치기구 공격 움직임도 보이고 있다"고 설명했다.

안다리엘그룹은 2008년부터 2018년 상반기까지 한국의 군, 방위산업체, 정치기구, 보안업체, ICT업체, 에너지연구소, 도박게임이용자, ATM기기, 금융사와 여행사, 암호화폐거래소 등을 공격했다. 스피어피싱, 워터링홀, IT관리시스템 취약점 악용, 공급망공격 수법을 즐겨 썼다.

차 수석은 "이들은 공격대상을 정해 놓고 오피스 프로그램 매크로 기능을 이용한 스피어피싱을 자주 행했는데, 이제까지 한국에서 활동하면서 국내에 널리 통용되는 한글(HWP) 파일을 이용하지 않았다는 게 특이점"이라며 "IT관리시스템과 중앙관리시스템 등의 보안취약점을 악용하고 표적 이용자가 방문하는 사이트에 액티브X 악성코드를 설치해 감염시키는 '워터링홀' 수법을 쓰는 특징도 보인다"고 덧붙였다.

그는 이어 2015년 이후 최근까지 안다리엘그룹의 주요 활동 사례를 열거했다.

안다리엘그룹은 2015년 7월 IT자산관리업체 I사의 디지털인증서를 유출했다. 11월 서울 국제항공우주 및 방위산업전시회(ADEX) 참가 업체 대상 스피어피싱을 수행했다. 그해 11월부터 보안업체 I사 디지털인증서로 서명된 악성코드 유포 사례가 2016년 2월 발견됐다. 4월 방산업체 D사와 ICT서비스업체의 중앙관리시스템 취약점을 공격했고, 8월 국방부 백신프로그램 관리시스템 취약점을 공격해 기밀을 유출했다.

2017년 1월에는 도박성 게임 이용자를 겨냥해 관련 설치프로그램 및 PC방 관리프로그램 변조로 이용자의 패를 훔쳐볼 수 있게 만들었다. 3월에는 2015년 2월 시작한 백신관리프로그램 취약점 공격으로 2016년 11월부터 신용카드정보 유출을 시도해 복제카드로 실제 대금인출 피해까지 이어진 ATM기기 해킹 사례가 드러났다. 중하반기엔 금융 및 여행사 내부시스템 취약점 공격을 수행한 흔적이 드러났다.

차 수석은 "안다리엘그룹은 군과 방산업체를 주로 공격 대상으로 삼아 왔는데, 작년 3월에는 ATM공격, 5~6월 이후 금융권 대상 공격에 연관된 것으로 드러나 당시 의아하게 여겨졌다"며 "2018년부터는 본격적으로 암호화폐거래소를 노리기 시작했다"고 지적했다.

안다리엘그룹이 ATM, 금융권, 암호화폐거래소 공격을 시도한 게 왜 특이사항일까. 보안연구자들이 파악한 그 해커조직의 구성 때문이다.

앞서 소개됐듯 안다리엘은 라자루스그룹의 하위조직이다. 현재까지 확인된 라자루스그룹 하위조직은 둘이다. 하나는 안다리엘(Andariel 또는 Labyrinth Chollima로도 불림)이고, 또 하나는 히든코브라(Hidden Cobra 또는 Silent Chollima로도 불림)다.

안랩 ASEC 차민석 수석의 발표자료 일부. 라자루스그룹 하위인 안다리엘, 히든코브라를 비롯한 한국 대상 활동 해커조직과 주요 공격을 보여주고 있다.

차 수석은 "안다리엘그룹은 (나머지) 라자루스그룹이 공격하는 쪽을 공격하지 않았고 라자루스그룹과 그 하위조직은 약간 영역을 나눈 것처럼 활동해 왔다"며 "히든코브라는 주로 암호화폐거래소를 노렸던 조직인데, 최근엔 안다리엘도 거래소를 공격한 것"이라고 강조했다.

그는 이에 대해 "안다리엘이 갑자기 암호화폐 거래소를 공격한 정황을 보고 금융 관련 분야로 아예 (공격) 방향을 틀었나 생각하기도 했는데, 그후 4~5월에는 다시 정부기관의 액티브X 사용 업무포털에 취약점 악용코드를 삽입하는 등 (이전대로) 활동을 이어갔다"고 덧붙였다.

안다리엘그룹은 사이버공격 대상이 사용하는 소프트웨어(SW)의 취약점을 악용하는 익스플로잇, 정보를 탈취하는 백도어와 키로거, 기타 정상적인 용도로 쓰이는 툴을 함께 동원해 왔다. 익스플로잇은 액티브X, 플래시플레이어, IT관리시스템의 취약점을 악용하는 유형이 많았다. 백도어로 Andarat, Andaratm, Bmdoor, Bozok, Ghostrat, Phandoor, Rifdoor, Xtream 등을 제작했다. 정상적인 툴로 프록시서버 3proxy, TCP 포트스캐너, IP포트검사도구 Zcon 등을 썼다.

차 수석은 안다리엘그룹이 동원한 기술들을 열거하며 "중국에서 개발한 백도어를 한국어판으로 수정해 쓰기도 했고, 와이퍼(wiper)를 쓴 흔적도 발견했는데 이는 공격을 노출당했을 때 (해킹 중인 시스템에서) 데이터를 지워 흔적을 없애는 데 쓰려 했을 것으로 추정된다"고 말했다

안랩 ASEC이 한국에서 10년동안 발생한 여러 사이버공격 배후를 안다리엘그룹으로 지목하는 근거는 뭘까. 여러 스피어피싱 공격에 쓴 오피스 문서의 매크로 및 관련 코드간 유사성, 여러 익스플로잇 코드에 삽입된 스크립트의 공통된 특징, 여러 공격에 이용된 악성코드의 유사성, 공격에 이용된 악성코드와 제어툴이 접속하는 명령제어서버 주소의 중복 등이다.

차 수석은 "2015년 가을 ADEX 참가업체 공격 때와 2017년 6월 금융권 공격 당시 매크로 코드는 거의 동일했고, 국방부 공격 사례와 ATM 및 금융권 공격에 쓴 코드에서도 유사성이 발견됐다"며 "이밖에 별개 공격의 파일다운로드 스크립트, 암호화코드가 비슷하거나 동일했고 명령제어서버가 중복되는 경우도 많았다"고 설명했다.