북한의 크리덴셜 탈취 수법이 'Kim' 덤프를 통해 드러난 방법

 (dti.domaintools.com)
2P by GN⁺ 2일전 | ★ favorite | 댓글 1개
  • 최근 'Kim' 덤프 사건을 통해 북한의 크리덴셜 탈취 수법이 밝혀졌음
  • 북한 해커들은 피싱 사이트 및 소셜 엔지니어링 기법을 적극적으로 활용함
  • 이들은 서방 국가 및 IT 기업을 주요 타깃으로 삼음
  • 공격 방식은 주로 이메일 계정 정보 탈취와 관련되어 있음
  • 이번 폭로로 인해 미국 등 여러 기업에서 보안 경계가 높아지고 있음

“Kim” 덤프 사건의 개요

  • 최근 발생한 'Kim' 덤프 사건을 통해 북한이 계획적으로 대규모 크리덴셜 탈취 활동을 펼친 사실이 밝혀짐
  • 해당 데이터 덤프는 여러 IT 및 커뮤니티 플랫폼에서 공유되며, 공격의 구체적 수법이 공개됨

북한의 주요 해킹 방법

  • 북한 해커 집단은 피싱 이메일과 유사 웹사이트를 통해 사용자들의 로그인 정보를 수집함
  • 이러한 피싱 사이트는 진짜 사이트와 매우 유사하게 제작되어, 피해자가 본인 계정 정보 입력 시 자동으로 탈취가 이루어짐
  • 소셜 엔지니어링 기법도 적극적으로 활용하여 사용자의 심리적 허점을 공략함

공격 타깃 및 목표

  • 주로 미국, 유럽 등 서방권 IT 기업 및 보안 관련 조직이 주요 타깃이 됨
  • 조직 내 인사, 개발자, 시스템 관리자 등 접근 권한이 높은 인력이 집중적으로 공격 대상이 됨
  • 탈취된 크리덴셜을 통해 내부 정보 접근 및 추가 공격 루트 확보의 목적이 확인됨

보안상 의미 및 파장

  • 'Kim' 덤프를 통해 북한의 실질적 공격 방식과 전술적 진화 양상을 확인할 수 있음
  • 글로벌 IT 업계 내에서 보안 경계 강화와 크리덴셜 관리 정책 재정비 논의가 활발해짐
  • 관련 기업 및 기관들은 실시간 모니터링과 피싱 대응 훈련 강화에 나서고 있음

결론 및 앞으로의 과제

  • 북한 해킹 그룹의 활동은 지속적으로 진화하고 있으며, 보다 정교한 수법이 등장 중임
  • IT 업계 종사자 및 조직 전체의 보안 인식 제고와 다층적 대응 체계 구축이 필요함
GN⁺ 2일전  [-]
Hacker News 의견

  • 나는 이번 유출에 책임이 있는 해커들이 바로 이 사람들이라고 생각함 phrack.org의 해당 기사 참고 바람

    • "나는 해커이고, 나는 너희와 정반대임. 내 세계에서는 모두가 평등함. 우리는 피부색도, 국적도, 정치적 목적도 없고, 누구의 노예도 아님"이라는 고전적 해커의 엘리트주의 시각을 볼 수 있음. 하지만 이런 "모두가 평등하다"는 공간은 특정한 유형의 사람들에게만 제대로 작동하는 환상임

  • 이번 사안이 흥미로운 이유는 DPRK(북한)와 PRC(중국)이 연결되어 있다는 점 때문임. 이 둘 간의 조정이 얼마나 깊은지는 알기 어렵지만, 분명 완전히 독립적이지는 않음. 이런 공개적 지목이 PRC가 DPRK 및 자체 활동과의 연루를 부인하기 더 어렵게 만들지 궁금함

    • 베이징이 평양의 행동에 불만이 있다고 해도 북한은 중국에 전략적으로 너무 중요한 존재이기 때문에 중국의 지원이 흔들리거나 그걸 숨기려 할 가능성은 희박함
    • 현재로서는 PRC가 자신의 관여를 부인할 수 없게 만드는 확실한 증거(스모킹 건)는 없어 보임
    • 중국이 북한을 지원한다는 건 더 이상 비밀이 아니며, 이는 미국이 남한을 지원하는 것과 유사한 수준임. 지정학적 위치를 보면 중국에는 더 큰 명분이 있음. 이런 맥락을 이해하려면 Monroe Doctrine을 참고하면 좋겠음. 쿠바 미사일 위기 역시 사실은 Turkey Missile Crisis로 보는 게 옳음. 미국이 터키에 주피터 핵미사일을 배치하자, 소련도 쿠바에 대응 배치를 했던 것임. 결국 세계대전 직전까지 갔지만 소련이 후퇴했고, 비공개로 터키 미사일도 철수함 Monroe Doctrine, 주피터 미사일 정보 링크 참고
    • 정보보안 커뮤니티에서는 중국-북한 연관성은 널리 알려진 사실임. 중국이 전 세계 최초로 공식 군 사이버 유닛을 만든 국가임. 북한은 돈벌이 목적에서 뒤따라왔고, 심지어 중국 본토에 호텔 등 부동산을 확보해 작전 거점으로 활용함. 중국은 사실상 대북 무역에서 달러를 받아 공급을 제공하는 ‘세탁소’ 역할도 하고 있음

  • 유출된 데이터에 TitanLdr, minbeacon, Blacklotus, CobaltStrike-Auto-Keystore 등 공격 도구용 GitHub 리포지토리가 사용되었다고 함. 이런 공격 도구의 개발을 Github에서 허용하는 이유는 뭔지 궁금함. 단순 표현의 자유 문제인지, 아니면 이런 도구가 학술적으로도 의미가 있어서인지 의문임

    • 이런 툴들은 침투테스트 및 레드팀 작업에서 자주 활용됨. 공개 금지는 오히려 방어자만 공격자 방법을 모르도록 만들고, 진짜 악의적 해커에게는 방해도 안 되는 점이 있음. 이미 90~2000년대에 여러 번 논의된 결론임
    • 보안 연구자와 펜테스터들이 주로 활용하는 도구임
    • 그럼 대안은 어떤 것이 있을지 궁금함
    • GitHub가 이란이나 북한 같이 제재 대상 국가를 막아야 하는 거 아닌지 의문임 공식 정책 링크 참고

  • 북한에서는 일반인이 컴퓨터를 배우거나 소유하는 게 어렵다고 들었음. 소수 엘리트만 선발·훈련받는 구조라 하는데, 이들이 최신 기술을 확보해 해킹을 수행하는 것이 꽤 놀라움

    • 북한 해커는 아마 세계 최고 수준임. 정부가 학생들을 조기 선발해 집중 교육을 시키면 가능성 있음. 서구권은 교육이 일반적이고 대학교육에서도 실제 해커 업무와는 다르기 때문임. 서구권 22세 해커는 6개월 인턴 경험이 전부이지만, 북한 해커는 그 나이에 이미 수년간 경험 쌓았을 가능성 큼
    • 북한 팀은 각종 코딩 대회에서도 좋은 성적을 거두는 만큼, 소수 정예 IT 인재 육성에는 상당히 능한 것으로 봄
    • ‘최신 기술을 갖고 해킹하는 게 놀랍다’는 반응이 있는데, 인재 선발이 어려운 일이 아니고, 이런 인재에게 최고의 동기부여와 조건을 제공하면 역량을 갖춘 해커가 나오는 건 오히려 당연한 일임

  • "Kim"이라는 운영자와 연계된 유출 데이터셋은 북한의 사이버 작전 모습을 구체적으로 보여줌. 하지만 왜 북한 해커들이 흔적을 그대로 남겼는지 이해가 어려움. 좀 더 교묘한 우회 흔적을 남기는 대신 평양까지 이어지는 빵 부스러기식 흔적을 왜 남겼는지 의아함

  • 이번 이슈는 기술적으로 흥미로운 부분이 많음. 일부 인프라는 펜테스터나 기타 보안 담당자도 사용하는 도구인데, 이를 보면 ‘순수한 방어용 무기’ 같은 건 존재하지 않는다는 걸 알 수 있음. 그런데 반대로 북한, 중국 비판 논의로 쉽게 넘어가기도 함. 이중성을 지적하자면 ‘Stuxnet’과 ‘Pegasus’라는 단어만으로 충분함

  • 중국 관련성(Option A/B)은 다소 과장된 면이 있음. 그냥 북한 해커가 중국에서 활동하는 이유는 단지 인터넷 접근성 때문일 수도 있음. 북한은 공용 인터넷이 없으니, 인터넷을 즐기기 위해 중국에 있거나, 중국인인 척하거나, 중국 측에서 조종받는 것과는 별개의 가능성도 있음

  • APT 워크플로우에 대해 매우 상세한 분석임. 이런 수준을 보고 일반적 공격자도 본인을 따라잡으려 유사한 수법을 복제할 수 있는 위험성이 있음

    • 정보 공개가 모방범을 낳을 위험이 있지만, 한편으로는 이런 공격자를 막기 위해 방어 전략을 짜야 하는 사람들에게 판단 근거를 제공할 수도 있음. 정보를 한 쪽만 갖도록 막는 것은 현실적으로 불가능함
답변달기