안녕 Owen 이다.
어이, 김 대리! 자네 지금 눈으로 보고도 믿기지 않는 기사가 나왔어! 트렐릭스 보고서 봤나? 지난 4월부터 9월까지 국가 배후 해킹 활동에서 북한 정부 연계 해커 그룹들이 압도적인 1위를 차지했대!
라자루스(Lazarus), 안다리엘(Andariel), 김수키(Kimsuky) 이 세 그룹이 전 세계 국가 배후 공격의 18% 이상을 점유했다잖아! 이게 무슨 뜻이겠어? 국가 안보와 직결된 사이버 전쟁에서 우리가 지금 최전선에 있다는 거야!
과거처럼 단순한 피싱이나 악성코드 살포 수준이 아니야. 'LotL(Living-off-the-Land)' 기법이니, '가짜 화상 통화'니 하면서 갈수록 정교하고 지능적으로 진화하고 있어! 자네들, 이런 위협에 그냥 손 놓고 있을 건가? 곽 부장의 긴급 작전 지시를 명심하고, 당장 방어 태세를 갖춰야 해!
그들의 진화된 공격과 우리의 '공급망' 위험
공격 전술의 진화: "LotL과 사칭! 굴러온 돌이 아닌 박힌 돌이 문제!"
요즘 북한 해커들이 가장 선호하는 수법이 LotL(Living-off-the-Land)이래.
LotL이란?: 악성코드를 새로 심는 대신, 윈도우의 명령 프롬프트나 파워셸 같은 '정상적인 내장 기능'을 악용하는 거야. 정상적인 활동과 섞여 들어가니 기존 보안 시스템으로는 탐지가 어렵다는 거지! 이건 마치 우리 회사 '정상 직원'으로 위장한 스파이와 같은 거야
고용/투자 사칭: 암호화폐 업계를 노린 '고스트콜'이나 '드림잡 작전'을 봐! 가짜 채용 제안 이메일을 보내거나, 줌/팀즈 같은 화상회의 플랫폼을 위장해서 악성 파일을 다운로드하도록 유도한대. AI를 활용해 영상까지 조작한다니, 속지 않을 재간이 없어!
최대 표적과 목적: "통신, 방위산업이 왜 털리는지 알아야지!"
보고서에 따르면, 전 세계 공격의 약 71%가 통신업체를 노렸고, 방위산업체까지도 위협받고 있대.
공급망 노리기: 튀르키예나 미국이 피해를 많이 입었지만, 라자루스 그룹이 유럽 방위산업체를 상대로 드론 기술 탈취를 노린 '드림잡 작전'을 벌인 것을 주목해야 해야해.
하이브리드 공격: 이들은 윈도우 EDR 탐지를 피하기 위해 WSL(Windows Subsystem for Linux)을 악용해 리눅스 암호화 툴을 실행시키는 하이브리드 공격까지 쓴대. IT 인프라의 OS 경계가 허술하면 당하는 거야! 우리 회사가 운영하는 통신 시스템과 기술, 그리고 공급망 전체에 대한 방어 전략이 시급하다는 말이지!
대응의 기본: "제로 트러스트, 협업, 그리고 최소 권한!"
트렐릭스가 제시한 방어 전략은 내가 늘 강조하던 '보안의 기본 원칙'과 일치해.
제로 트러스트(Zero-Trust): '아무것도 믿지 마라!' 이거야. 일단 네트워크에 들어온 것도 믿지 말고 다시 확인해야 해.
최소 권한 원칙: 직원들에게 꼭 필요한 권한만 주고, 그 이상은 절대 주면 안 돼. 직원 계정 하나가 털리면 회사 전체가 무너진다는 걸 명심해!
팀 간 협업: SOC, IT, 위협 인텔리전스 팀이 따로 놀지 말고 사소한 이상 징후라도 즉시 공유해서 대응해야 해. 정보 공유와 협업이 곧 방어력이야!
"보안의 미래는 '인텔리전스'에 달렸다!"
자, 김 대리! 이번 보고서는 북한 연계 해킹 그룹의 위협이 얼마나 실제적이고 심각한지를 다시 한번 경고하고 있어.
더 이상 '내 일 아니겠지' 하는 안일한 생각은 용납 못 해!
지금 당장 트렐릭스가 강조한 제로 트러스트 원칙과 최소 권한 접근 원칙이 우리 회사에 제대로 적용되고 있는지 확인해! 그리고 LotL 기법처럼 정상 도구를 악용하는 공격을 탐지할 수 있도록 보안 솔루션과 정책을 점검해!
보안 리더는 '인텔리전스'를 기반으로 예측 가능한 방어 체계를 구축해야 해! 알았지? 딴짓 말고, 오늘부터 위협 인텔리전스 보고서부터 꼼꼼히 읽어! 그게 회사와 자네의 미래를 지키는 길이야! 얼른 움직여!
