뉴스로 돌아가기
속보

APT37, 이동식 드라이브로 에어갭 네트워크 침투하는 새로운 악성코드 배포

3분 읽기출처: BleepingComputer

북한의 APT37, 이동식 USB 드라이브를 활용해 에어갭 네트워크를 공격하는 신종 악성코드를 개발. 데이터 유출 및 감시 기능 포함된 고도화된 위협 분석 및 대응 방안.

북한 APT37, 에어갭 네트워크 침투 위한 악성코드 확장

보안 연구진들은 북한의 APT37(리퍼 또는 스카크루프트로도 알려진) 그룹이 에어갭 네트워크와 인터넷 연결 시스템을 연결하기 위해 이전에 알려지지 않은 악성코드를 사용하는 새로운 공격을 발견했다. 이 공격은 이동식 USB 드라이브를 활용해 데이터 유출 및 감시를 수행하며, 고보안 환경에 대한 그룹의 전술 진화를 보여준다.

공격의 기술적 분석

최근 조사에서 확인된 이 악성코드는 다단계 감염 과정을 통해 작동한다:

  1. 초기 감염 경로: 공격은 APT37의 일반적인 진입점인 피싱 또는 스피어피싱 이메일로 시작된다. 시스템이 침해되면 악성코드는 지속성을 확보하고 이동식 드라이브 연결을 기다린다.

  2. USB 전파: 감염된 시스템이 USB 드라이브를 감지하면 악성코드는 자신을 드라이브에 복사하며, 종종 합법적인 파일로 위장하거나 autorun.inf 기법을 사용해 드라이브 삽입 시 자동 실행된다.

  3. 에어갭 네트워크 연결: 에어갭 시스템에 USB 드라이브가 삽입되면 악성코드가 활성화되어 민감한 데이터를 스캔하고, 공격자가 제어하는 인프라로 정보를 유출하기 위한 은밀한 통신 채널을 구축한다. 이 방식은 전통적인 네트워크 기반 방어를 우회하며, 물리적 매체를 통한 데이터 전송에 의존한다.

  4. 감시 기능: 악성코드는 키로깅, 화면 캡처, 파일 탈취 모듈을 포함해 침해된 시스템을 종합적으로 감시할 수 있다. 연구진은 페이로드가 고도로 모듈화되어 있어 공격자가 특정 대상에 맞춰 기능을 조정할 수 있다고 밝혔다.

현재까지 이 신종 악성코드에 CVE ID는 할당되지 않았지만, 샌드박스 회피 및 암호화 통신 등 안티 분석 기법을 활용해 탐지를 회피하는 정교한 구조를 갖추고 있다.

영향 및 표적

APT37은 한국, 일본, 중동정부 기관, 방위 산업체, 중요 인프라를 주로 표적으로 삼아왔다. 이번 에어갭 시스템을 겨냥한 공격은 군사, 핵, 금융 등 고가치 격리 네트워크를 대상으로 한 것으로 분석된다. USB 기반 전파 방식은 **스턱스넷(Stuxnet)**이나 Agent.BTZ와 같은 국가 지원 공격에서 관찰된 전술과 유사하지만, APT37의 도구는 파괴보다는 첩보 활동에 초점을 맞춘 것으로 보인다.

이번 발견은 물리적으로 격리된 에어갭 환경이 국가 지원 위협 행위자에 의해 지속적으로 위협받고 있음을 보여준다. 이동식 매체 의존도는 단 하나의 감염된 USB 드라이브가 데이터 유출의 교량 역할을 할 수 있는 중대한 취약점을 드러낸다.

대응 및 권고 사항

에어갭 또는 고보안 네트워크를 관리하는 보안팀은 다음 조치를 통해 이 위협을 완화해야 한다:

  • USB 접근 제어: 이동식 드라이브 사용을 승인된 인원으로 제한하고, 승인된 장치만 화이트리스트로 등록한다. 모든 시스템에서 자동 실행(autorun) 기능을 비활성화한다.

  • 엔드포인트 탐지 및 대응(EDR): 승인되지 않은 파일 전송이나 비정상적인 프로세스 실행 등 이상 행동을 탐지할 수 있는 EDR 솔루션을 배포한다.

  • 네트워크 세분화: 에어갭 시스템은 물리적으로 격리되어 있지만, 인접 네트워크는 침해 시 횡적 이동을 제한하기 위해 세분화해야 한다.

  • 사용자 인식 교육: 피싱 캠페인이 악성코드 배포에 선행될 수 있음을 인식시키고, USB 기반 공격의 위험에 대해 교육한다.

  • 정기 감사: 에어갭 시스템의 무단 하드웨어/소프트웨어 변경을 탐지하기 위해 정기적인 감사를 실시한다. **파일 무결성 모니터링(FIM)**을 도입해 의심스러운 변경을 식별한다.

  • 위협 인텔리전스 공유: APT37과 같은 그룹의 신종 위협에 대응하기 위해 산업 동료 및 정부 기관과 협력해 **지표(IOC)**를 모니터링한다.

결론

APT37의 최신 악성코드 발견은 고보안 환경에서 위협 행위자와 방어자 간의 지속적인 공방전을 보여준다. 에어갭 네트워크는 여전히 중요한 방어 메커니즘이지만, 물리 매체 기반 공격에 취약하다는 점을 고려할 때, 계층적 보안 접근이 필수적이다. 조직은 기술적 제어와 능동적 위협 탐지를 결합해 **지속적 위협(APT)**에 대응해야 한다.

자세한 내용은 IOC 및 기술 분석을 포함한 BleepingComputer의 원문 보고서를 참고하라.

공유

TwitterLinkedIn