Lazarus 그룹은 대한민국을 타겟으로 활동하는 가장 위협적인 사이버위협 그룹 중 하나이다. 해당 공격그룹은 국내 대다수의 기업과 사용자들이 사용하고 있는 보안 소프트웨어 및 언론 사이트를 최초 침투에 악용했다.
공격자는 주로 언론사의 기사페이지에 악성 스크립트를 삽입해 워터링홀 페이지로 악용했으며, 해당 페이지에 접속시 보안 소프트웨어 취약점을 통해 악성코드를 설치하는 전략을 사용했다.
이 과정에서 공격자는 보안 솔루션 개발업체의 소스코드를 탈취하여 취약점 코드를 개발한 것으로 드러났다. 공격자는 워터링홀 공격을 위해서 언론사 사이트를 이용하고, 명령제어지 구축을 위해 호스팅 업체를 악용하는 등 국내 인프라를 이용한 공격 범위 확장을 지속하고 있었다.
우리는 이번 사고에서 확인된 주요 특징을 바탕으로 “Operation GoldGoblin” 이라고 명명한다. 고블린이란 주로 탐욕이 많고 비열한 존재를 의미한다. 이 명칭은 사고 조사 과정에서 Lazarus 그룹이 보여주었던 행위를 반영하여 명명하였다. 개발사 침투를 통한 소스코드 탈취, 언론사 해킹을 통한 워터링홀 공격, 그룹웨어 및 호스팅 서비스 해킹을 통한 명령제어지 악용 등 사이버 공격을 통해 소스코드와 자원을 탈취하고 악용하는 모습은 탐욕스러운 고블린을 떠올리게 한다.
이번 사고 조사에는 한국인터넷진흥원, 경찰청 안보수사국, 사이버안보센터, 안랩, 카스퍼스키 등 여러 사이버 보안 전문 기관이 협력하여 진행했다. 한국인터넷진흥원은 이 보고서를 통해 Operation GoldGoblin에서 확인된 공격의 전체 과정과 침해사고 조사, 악성코드 분석 결과, 그리고 과거에 발생했던 침해사고와의 연관성에 대해 상세히 다룬다.
오늘날 대한민국을 타겟으로 활동하는 공격그룹 중 가장 위협적인 그룹인 Lazarus의 (피해확산 측면에서) 최고 수준의 위험도를 보인 오퍼레이션을 분석하였다.
본 보고서는 61개 기관의 PC 207개를 해킹한 오퍼레이션을 기반으로 작성되었으며, KrCERT는 개별 사건을 분석, 정리하여 공통된 TTPs를 도출하였다.
Lazarus 발 해킹사고라고 인지한 건 중 같은 클러스터로 판단되는 최근 5년 간의 침해사고를 리뷰하여 본 오퍼레이션의 TTPs와 기존 공격을 비교 분석, 어떠한 공통점과 차별점이 존재하는지 설명하였다.
공격자는 이번 오퍼레이션에서도 타겟형 워터링홀 공격을 수행하였다. 타겟형 워터링홀은 IP 필터링을 통해 타겟군을 설정하여 공격을 수행하는데, 만약 필터링 없이 전방위적인 공격을 수행했다면 탐지시점이 앞당겨질 수 있었겠지만 피해규모는 주체할 수 없이 확산 되었을 것이다. 또한 최초 침투 후 내부 전파를 거쳐 시스템 파괴 등을 수행하는 악성코드가 실행되었다면 사회적 혼란이 야기되었을 것이다.
이번에 파악된 피해기업에는 그룹웨어 및 인프라 운영업체가 포함되는 등 해킹될 경우 파급력이 매우 큰 기업들이 대다수였다. 해당 기업들의 침해사고는 고객에게 확산될 수 있었으며 큰 피해로 이어질 수 있었다.
우리는 경찰청 안보수사국, 사이버안보센터와 적극 협력하여 피해기업(언론사, 보안 소프트웨어 개발사, 그룹웨어 개발사 등) 대상으로 실제 피해가 발생하기 전에 드러난 위협을 제거하였다.
금번 피해기업 외에도 피해사실이 드러나지 않은 기업이 존재할 수도 있으므로, 본 오퍼레이션에서 드러난 피해기업과 같은 유형의 업체는 자체 점검이 요구된다.