정부에서 관리하는 시스템이 코인 채굴 악성코드 에 감염되어 있었지만, 몇 년간 아무도 발견하지 못 한 채 방치되어 있었다는 사실이 보도되어 논란이 일고 있다. CIP 팀은 코인 채굴에 쓰인 정부 시스템에 관한 보도에서 사용된 악성 IP 주소의 활동 내역, 사고의 원인을 Criminal IP를 활용하여 분석하였다.

문제가 발생한 시스템은 정부가 축산 농가에서 발생하는 악취를 실시간으로 모니터링하기 위해 전국의 축산 농가에 설치한 것으로, 축산 농가에서 발생하는 암모니아 같은 악취 농도를 실시간으로 측정하고, 그 데이터를 축산환경 관리원 관제 시스템으로 전송하고 있다. 이 축산 모니터링 시스템은 총 61억 5천만 원의 예산을 투입하여 2017년부터 5년간 대한민국 719곳 축산 농가에 설치되었다. 하지만 2017년 설치 직후부터 시스템의 서버가 코인 채굴 악성코드 에 감염되어 채굴에 동원되고 있었지만 그것을 몇 년간 아무도 발견하지 못하고 있다가 최근 들어 확인된 것으로 드러났다.

출처: SBS 뉴스 “코인 채굴에 쓰인 ‘정부 시스템’…4년 넘게 아무도 몰랐다”

코인 채굴에 사용된 정부의 축산 모니터링 시스템을 다룬 뉴스 보도 스크린샷

이 분석 레포트는 코인 채굴 악성코드 에 감염된 정부 시스템을 다룬 뉴스 보도의 내용과 스크린샷 등을 여러 OSINT 와 CTI 시스템을 통해 추적한 내용을 바탕으로 작성되었다.

언론에 보도된 코인 채굴 악성코드 사건 타임라인

  • 2017.10.05 12:03:48 ~ 2017.10.30 16:13:14

약 25일간 외부에서 접근한 로그가 확인되었으며, 접근한 방식은 SSH로 추정(추정의 근거는 뒤에서 언급함).

  • 2020.12.30 22:34:06

약 3년이 지난 후, 코인 채굴 악성코드 공격으로 의심되는 트래픽이 45.9.148.99로부터 발생된 흔적 발견, 그 이전의 로그는 저장되어 있지 않아 확인 불가.

로그를 바탕으로 추정해 보면, 2017년 10월부터 해커가 서버를 장악한 것으로 추측된다. 즉 이 서버는 2017년부터 해커가 마음대로 사용할 수 있게 되었고, 정확히 언제부터 코인 채굴이 이루어졌는지는 파악할 수 없지만 3년이 지난 2020년에 채굴 흔적이 발견되는 것으로 보아, 정황상 3년 이상 채굴이 진행되었을 가능성이 높다.

악성 IP 주소와 코인 채굴 악성코드 추적

언론에서 확인된 IP 주소는 45.9.148.99였으며, 타임라인은 2020년이었다. 따라서 이 IP 주소의 2020년 데이터를 추적해 볼 필요가 있다. 또한 뉴스를 통해 보도된 침해 사고 분석 보고서를 보면 악성코드로 의심되는 dota3.tar.gz라는 파일명이 확인된다.  따라서 이 두 가지를 기반으로 사건의 내용을 분석해 보았다. 우선 해당 IP 주소는 네덜란드의 호스팅 서버 IP로 추측된다.

2020.06.11,  Outlaw의 모네로 코인 채굴 악성코드

코인 채굴 악성코드 공격으로 의심되는 트래픽이 기록된 시점과 유사한 시기에, oguzhantopgul.com 블로그에 매우 흥미로운 글 하나가 작성되었다(https://www.oguzhantopgul.com/2020/06/outlaw-botnet-xmrig-miner-and-shellbot.html). 해당 글에는 Outlaw 해킹 그룹이 모네로 채굴 악성코드를 감염시키기 위하여 IRC 봇과 SSH Bruteforce 기법을 사용했다는 내용이 기재되어 있다. 또한 이 포스팅에서 명시하고 있는 채굴을 위해 해커와 통신한 IP 주소(45.9.148.99)와 악성코드로 의심되는 패키지(dota3.tar.gz) 모두 축산 모니터링 시스템 해킹의 정황과 완전히 일치하다는 것을 알 수 있다. 따라서 축산 모니터링 시스템의 2017년 해커의 외부 접속 역시 SSH 접근으로 예상할 수 있다.  

dota3.tar.gz의 아키텍처(출처: https://www.oguzhantopgul.com/2020/06/outlaw-botnet-xmrig-miner-and-shellbot.html)
dota3.tar.gz의 아키텍처(출처: https://www.oguzhantopgul.com/2020/06/outlaw-botnet-xmrig-miner-and-shellbot.html)

2019.06.13, Outlaw 해킹 그룹에 관한 트렌드마이크로 보고서 

Outlaw 해킹 그룹과 dota.tar.gz 악성코드 패키지명을 통해 검색을 진행해 보니, 2019년에 이미 트렌드마이크로에서 해당 이슈와 관련하여 작성한 보고서를 확인할 수 있었다. 트렌드마이크로의 보고서에 의하면 (https://www.trendmicro.com/en_dk/research/19/f/outlaw-hacking-groups-botnet-observed-spreading-miner-perl-based-backdoor.html), 자체 운영 중인 허니팟 중 하나에 이 악성코드가 포착되었으며, 축산 모니터링 시스템 해킹에 사용된 45.9.148.99 IP 주소는 이용되지 않았지만 나머지 내용은 모두 동일하였다. 특히 트렌드마이크로는 이 악성코드를 이용하여 20만 대 이상의 서버가 추가로 감염될 수 있을 가능성을 언급하며, 사용하지 않는 포트를 닫고 주기적으로 모니터링해야 한다는 공격표면관리의 시사점을 내보였다.

악성코드의 페이로드(출처 : 트렌드마이크로)
악성코드의 페이로드(출처 : 트렌드마이크로)

2020.05.30, 깃허브에 공개된 코인 채굴 악성코드 소스코드

TripleLift라는 기업의 운영진인 Dan Goldin은 자신의 깃허브에 시스템이 해킹을 당했다며 그 덤프 내역을 올렸는데, 역시 위에서 언급한 Outlaw가 개발한 dota.tar.gz 패키지의 내용과 매우 유사하였다. 덤프 내역 중에는 놀랍게도 축산 모니터링 시스템 해킹에 사용된 45.9.148.99라는 IP 주소도 발견되었다(https://github.com/dangoldin/crypto-miner-hack). 축산 모니터링 시스템 해킹이 발생한 2020년에 올라온 포스팅으로, 해당 연도에 이 IP 주소를 이용한 채굴 감염 해킹이 성행하였음을 짐작할 수 있다.

Dan Goldin이 깃허브에 올린 해킹 덤프 내역
Dan Goldin이 깃허브에 올린 해킹 덤프 내역

2020.06.18 Reddit에 포스팅된 SSH brute force 공격

같은 해 6월에는 레딧에 한 유저가 본인의 시스템이 SSH brute force 공격을 받고 있다는 글을 게시했다. 앞선 사례와 마찬가지로 시스템을 공격하고 있는 IP 주소로 45.9.148.99가 언급되었으며, 공격 방식 또한 SSH 공격이라는 점에서 축산 모니터링 시스템 해킹과 동일한 Outlaw의 소행이라는 추측을 뒷받침하고 있다(https://www.reddit.com/r/linux4noobs/).

레딧에 게시된 SSH brute force 공격 내용 포스팅
레딧에 게시된 SSH brute force 공격 내용 포스팅
시스템을 공격하고 있는 IP 주소로 45.9.148.99가 확인된다
시스템을 공격하고 있는 IP 주소로 45.9.148.99가 확인된다

앞선 정황들은 모두 OSINT를 활용한 추적 방식이며, 이러한 방식을 통해 특정 IP 주소 및 해킹 수법에 대한 상당한 기록과 증거를 찾을 수 있다.

2020.08.03 Criminal IP에 발견된 공격 기록

Criminal IP의 검색을 통해서 같은 해 8월에 Abuse Record 기록에 KISA의 C-TAS 기록에 의해 공격 로그 흔적이 있음을 확인할 수 있다.

https://www.criminalip.io/ko/asset/report/45.9.148.99

Criminal IP의 Asset Search에서 IP 주소 45.9.148.99를 검색한 결과
Criminal IP의 Asset Search에서 IP 주소 45.9.148.99를 검색한 결과

정부기관이 당했다. APT 공격인가?

타임라인을 종합해 보면 아래와 같다.

  • 2019.06.13 트렌드마이크로 분석 보고서가 공개되며, Outlaw 해커가 만든 SSH공격+모네로 채굴 조합 악성코드 패키지 발견
  • 2020.05.30 TripleLift라는 기업이 같은 방식으로 공격당함 (45.9.148.99 IP 주소 첫 발견)
  • 2020.06.11 oguzhantopgul.com 블로그에 분석 보고서가 공개됨 (45.9.148.99 IP 주소에 Outlaw 해커가 만든 SSH공격+모네로 채굴 패키지 공격 수행됨)
  • 2020.06.18 같은 기법으로 공격 당하는 내용이 Reddit에 포스팅됨 (45.9.148.99 같은 IP 주소)
  • 2020.08.03 Criminal IP에 발견된 45.9.148.99의 공격 기록
  • 2020.12.30 정부의 축산 모니터링 시스템의 해킹 기록 발견 (45.9.148.99 같은 IP 주소)

이 타임라인을 보았을 때 이미 이 IP 주소로 공격하고 있는 코인 채굴 악성코드 활동은 반년이 넘어가고 있었고, 여러 차례 비슷한 사건들이 다양한 채널로 보고되고 있었다. 보통 APT 공격은 표적화된 공격을 시작하기 전에 흔적을 미리 남기는 일이 많지 않고, 공격을 마치고 나면 IP 주소를 제거하는 등 공격의 흔적도 지우는 경우가 많다.

따라서 정부의 축산 모니터링 시스템 해킹은 해커의 맞춤화된 APT 공격이라기보다는 해커가 45.9.148.99에 감염시킨 악성코드로 이곳 저곳을 공격하다가 취약한 상태로 운영되던 축산 모니터링 시스템이 여기에 얻어걸렸을 가능성이 커 보인다(트렌드마이크로의 보고서에도 20만 대 이상의 시스템이 위험에 처해 있다고 언급하였다). OSINT 와 IP Intelligence 만으로 충분히 사전 방어가 가능한 공격이었으며, 차세대 방화벽 등에서 제공하고 있는 채굴 시스템 탐지 기능으로도 사전 탐지가 가능했을 것으로 보인다.

공격표면관리 도입 필요

정보통신기술의 급속한 발전과 함께 전 세계 국가들은 전자정부를 도입하여 국가의 행정 시스템을 효율적으로 개선하기 위하여 노력하고 있다. 특히 우리나라의 전자정부는 세계적으로 인증받으며 다양한 분야에 인터넷을 활용한 업무 전환을 도입하고 있다. 이러한 전환은 필연적으로 수많은 공격 표면을 만들어내고 있으며, 외부 공격에 의한 피해 확률도 높아질 수밖에 없다. 이 사례뿐만 아니라 지금도 수많은 정부 기관의 서버가 관리의 사각지대에 놓인 채 방치되고 있다.

특히나 정부 기관의 장비 해킹은 한 번의 공격으로 중요한 개인정보나 국가기밀이 누출될 수 있는 매우 민감한 사안이므로, 해커의 공격 시도를 선제적으로 방어하는 공격 표면 관리를 완벽하게 갖추어야 한다.

Criminal IP를 활용하여 다른 사람의 컴퓨터 리소스를 무단으로 사용해 암호화폐를 채굴하는 크립토재킹을 탐지하는 포스팅을 함께 읽어보길 추천한다.

데이터 출처 : Criminal IP (https://www.criminalip.io)

관련 글 :

크립토재킹 탐지 : 암호화폐 채굴 악성코드에 감염된 어플리케이션