보도자료

한국해킹보안협회는 건전한 정보화 사회의 발전을 위해 노력합니다.

Home > NAHS 소개 > 보도자료
제  목 | 북한 사이버 스파이 '샤프슈터 작전', 2017년 9월부터 현재진행형 [전자신문 Etnews 3월 05일자]
아이디 | admin
날  짜 | 2019-03-06
조  회 | 306

북한 사이버 스파이 '샤프슈터 작전', 2017년 9월부터 현재진행형


지난해 말 적발된 북한의 사이버 스파이 활동이 더 오랫동안 광범위하게 자행됐다는 증거가 발견됐다. 

미국 보안업체 맥아피는 북한이 '샤프슈터 작전(Operation Sharpshooter)'에 쓴 명령제어(C2)서버 코드와 데이터를 분석한 내용을 공개했다. 맥아피는 해당 C2서버를 한 정부기관으로부터 제공받아 이번 분석을 실시했다. 

지난해 12월 맥아피는 북한 지원 해킹그룹이 유포한 것으로 추정되는 악성코드에 미국을 중심으로 세계 87개 기관·기업이 감염된 것을 발견, '샤프슈터 작전'이라고 명명했다. 공격자는 정부, 국방, 에너지, 통신, 금융 조직을 대상으로 취업·채용을 가장, '드롭박스'로 악성문서를 내려받게끔 유도한다. 문서 매크로로 메모리에 악성코드를 심어 '라이징선(Rising Sun)'이라 명명된 멀웨어를 몰래 내려받는 작업을 추가로 수행한다. 멀웨어는 사용자 정보를 수집하고 네트워크를 정찰한다. 

당초 '샤프슈터 작전'은 지난해 10월과 11월에 수행된 것으로 추정됐다. 그러나 이번 분석 결과, 이르면 2017년 9월부터 더 많은 국가와 산업분야를 대상으로 공격이 자행되는 것으로 밝혔다. 기존 분석보다 약 1년 일찍 시작됐고, 여전히 현재진행형이다. 이전에는 미국, 스위스, 이스라엘에 공격이 집중됐다면, 최근에는 미국을 포함해 독일, 터키, 영국을 표적으로 삼는 양상을 띤다. 

맥아피는 '샤프슈터 작전' 발견 당시부터 북한과 연관성을 제시했다. 북한 '라자루스' 해킹그룹이 2015년 한국과 일본을 대상으로 유포했던 '듀저(Duuzer)' 백도어 트로이목마 소스코드를 '라이징선'에서 발견했기 때문이다. '라자루스'는 2014년 소니픽처스 해킹, 2016년 국제결제시스템망(SWIFT) 해킹, 2017년 '워너크라이' 랜섬웨어 공격 배후로 지목된다. 이번 C2 서버 분석에서 나미비아 수도 빈트후크에 위치한 IP주소도 발견돼, 공격 실행 전에 이곳에서 테스트를 했을 가능성도 제기됐다. 나미비아는 북한과 우호적 관계인 아프리카 국가다.

한 국내 보안업계 전문가는 “수년 전부터 북한의 사이버공격은 꾸준히 이어져왔다”며 “정보 수집 활동은 하노이 정상회담 전후로도 변함없이 진행됐다. 북한 해킹조직에게는 일상적인 작업”이라고 말했다. 

팽동현기자 paing@etnews.com 


목록보기
번호 제목 작성자 등록일 조회
'정보화 산증인' 박성득 한국해킹보안협회장 [이현덕.. 관리자 2018-07-18 1686
592 국방부, 신기술 규제 샌드박스 적용해 첨단강군 육성한다 [전자.. 관리자 2019-05-17 18
591 토키타 타카히토 후지쯔 부사장 "4차 산업혁명 시대 '신뢰 .. 관리자 2019-05-17 17
590 '견적 의뢰 요청' 메일 열자..."랜섬웨어 걸렸다"[전.. 관리자 2019-05-15 30
589 블루투스 기기 탐색해 '모바일 데이터 탈취' 노리는 .. 관리자 2019-05-15 23
588 상품화 되는 랜섬웨어...돈내면 누구나 해커 [전자신문 Etnews .. 관리자 2019-05-14 23
587 문용식 NIA 원장 "韓 디지털 대전환 시대 'D·N·A 플러스&.. 관리자 2019-05-14 22
586 中 정부 지원 해커 집단, 韓 에너지 기업 '표적공격' .. 관리자 2019-04-26 115
585 랜섬웨어 피해 2년만에 두 배 늘어난 이유는? [전자신문 Etnews .. 관리자 2019-04-22 111
584 AWS, 올해 금융 클라우드 시장 확대 노린다 [전자신문 Etnews 4.. 관리자 2019-04-18 123
583 클라우드 제2장 위해 보안은 필수 [전자신문 Etnews 4월 15일자.. 관리자 2019-04-15 139
582 국방부, 군 인사 ERP 교체 시동…공공도 탈오라클? [전자신문 Et.. 관리자 2019-04-15 140
581 글로벌 기업 10곳 가운데 7곳, 사이버 공격에 '무방비'.. 관리자 2019-04-12 145
580 KISA, 국내 5개 대학 정보보호 학과에 'AI 보안기술' .. 관리자 2019-04-12 142
579 이스트시큐리티, 1분기 차단 랜섬웨어 '32만 506건'.... 관리자 2019-04-10 151
578 이대호 F1시큐리티 대표 "동남아 지역 '보안 한류' 주.. 관리자 2019-04-05 176
12345
(사)한국해킹보안협회 | 대표자:박성득 | 사업자등록번호:104-82-10373
주소:(04195) 서울특별시 마포구 백범로 199 메트로디오빌 빌딩 1107호 대표전화.02)716-9225,9229 팩스.02)716-9265