보도자료

한국해킹보안협회는 건전한 정보화 사회의 발전을 위해 노력합니다.

Home > NAHS 소개 > 보도자료
제  목 | 북한 사이버 스파이 '샤프슈터 작전', 2017년 9월부터 현재진행형 [전자신문 Etnews 3월 05일자]
아이디 | admin
날  짜 | 2019-03-06
조  회 | 69

북한 사이버 스파이 '샤프슈터 작전', 2017년 9월부터 현재진행형


지난해 말 적발된 북한의 사이버 스파이 활동이 더 오랫동안 광범위하게 자행됐다는 증거가 발견됐다. 

미국 보안업체 맥아피는 북한이 '샤프슈터 작전(Operation Sharpshooter)'에 쓴 명령제어(C2)서버 코드와 데이터를 분석한 내용을 공개했다. 맥아피는 해당 C2서버를 한 정부기관으로부터 제공받아 이번 분석을 실시했다. 

지난해 12월 맥아피는 북한 지원 해킹그룹이 유포한 것으로 추정되는 악성코드에 미국을 중심으로 세계 87개 기관·기업이 감염된 것을 발견, '샤프슈터 작전'이라고 명명했다. 공격자는 정부, 국방, 에너지, 통신, 금융 조직을 대상으로 취업·채용을 가장, '드롭박스'로 악성문서를 내려받게끔 유도한다. 문서 매크로로 메모리에 악성코드를 심어 '라이징선(Rising Sun)'이라 명명된 멀웨어를 몰래 내려받는 작업을 추가로 수행한다. 멀웨어는 사용자 정보를 수집하고 네트워크를 정찰한다. 

당초 '샤프슈터 작전'은 지난해 10월과 11월에 수행된 것으로 추정됐다. 그러나 이번 분석 결과, 이르면 2017년 9월부터 더 많은 국가와 산업분야를 대상으로 공격이 자행되는 것으로 밝혔다. 기존 분석보다 약 1년 일찍 시작됐고, 여전히 현재진행형이다. 이전에는 미국, 스위스, 이스라엘에 공격이 집중됐다면, 최근에는 미국을 포함해 독일, 터키, 영국을 표적으로 삼는 양상을 띤다. 

맥아피는 '샤프슈터 작전' 발견 당시부터 북한과 연관성을 제시했다. 북한 '라자루스' 해킹그룹이 2015년 한국과 일본을 대상으로 유포했던 '듀저(Duuzer)' 백도어 트로이목마 소스코드를 '라이징선'에서 발견했기 때문이다. '라자루스'는 2014년 소니픽처스 해킹, 2016년 국제결제시스템망(SWIFT) 해킹, 2017년 '워너크라이' 랜섬웨어 공격 배후로 지목된다. 이번 C2 서버 분석에서 나미비아 수도 빈트후크에 위치한 IP주소도 발견돼, 공격 실행 전에 이곳에서 테스트를 했을 가능성도 제기됐다. 나미비아는 북한과 우호적 관계인 아프리카 국가다.

한 국내 보안업계 전문가는 “수년 전부터 북한의 사이버공격은 꾸준히 이어져왔다”며 “정보 수집 활동은 하노이 정상회담 전후로도 변함없이 진행됐다. 북한 해킹조직에게는 일상적인 작업”이라고 말했다. 

팽동현기자 paing@etnews.com 


목록보기
번호 제목 작성자 등록일 조회
'정보화 산증인' 박성득 한국해킹보안협회장 [이현덕.. 관리자 2018-07-18 1295
561 페이스북, 6억개 계정 '비밀번호' 암호화없이 노출 [.. 관리자 2019-03-22 15
560 사이버범죄 그룹 'TA505'에 한국 기업 당했다 [전자신.. 관리자 2019-03-22 15
559 국내 기업 10곳 가운데 6곳, "APT 공격 당했다" [전자신문 Etnew.. 관리자 2019-03-21 14
558 북한 정부 지원 사이버공격, 갈수록 거세진다 [전자신문 Etnews .. 관리자 2019-03-21 18
557 정보보안업계 '융합보안' 강화 시동...KISIA '융.. 관리자 2019-03-21 17
556 2000년대 중반 이후 본격화된 '사회기반시설' 공격 [.. 관리자 2019-03-20 24
555 '산업제어시스템(ICS)' 보안 위험수위..."국가 근간 .. 관리자 2019-03-20 22
554 2018년 채굴악성코드↑ 랜섬웨어↓ [전자신문 Etnews 3월 19일자.. 관리자 2019-03-20 23
553 미라이봇넷, 기업용 디스플레이 시스템까지 노린다 [전자신문 Et.. 관리자 2019-03-20 20
552 모바일 백신 프로그램 3분의 2가 '무용지물' [전자신.. 관리자 2019-03-18 27
551 프린터는 "문서·출력 저장 플랫폼"...업계 보안 강화에 방점 [.. 관리자 2019-03-18 23
550 신종 모바일 애드웨어 발견...앱 200여개 감염 [전자신문 Etnews.. 관리자 2019-03-18 27
549 알파고 이후 3년…'AI 번역' 새 주인공...AI닥터 시대.. 관리자 2019-03-13 45
548 갠드크랩 랜섬웨어 이용하는 신규 공격자 등장 [전자신문 Etnew.. 관리자 2019-03-13 45
547 쿤텍, IoT 취약점 진단 솔루션 선보인다 [전자신문 Etnews 3월 1.. 관리자 2019-03-13 47
12345
(사)한국해킹보안협회 | 대표자:박성득 | 사업자등록번호:104-82-10373
주소:(04195) 서울특별시 마포구 백범로 199 메트로디오빌 빌딩 1107호 대표전화.02)716-9225,9229 팩스.02)716-9265