“CTI를 사전에 확보했다면, 한국 대상 공격에 보다 효과적으로 대응할 수 있었을 것"
데일리시큐가 주최한 국내 최대 사이버위협 인텔리전스 컨퍼런스 ‘K-CTI 2025’가 4월 15일 서울 한국과학기술회관에서 700여 명 이상의 보안 실무자가 참석한 가운데 성황리에 개최됐다.
이날 NSHC 조한국 선임연구원은 '친러 성향 사이버 범죄 해킹 그룹의 한국 기업 대상 해킹 활동 사례 분석'을 주제로 강연을 진행했다.
◆지정학적 갈등 속에서 드러난 사이버 위협의 실체
조한국 선임은 러시아-우크라이나 전쟁의 장기화로 인해 사이버 공간이 새로운 국제 분쟁의 전장으로 확대되고 있다고 진단했다. 그는 특히 친러 성향의 사이버 범죄 그룹인 SectorJ149(일명 UAC-0050 또는 DaVinci Group)가 2024년 11월 한국 내 제조·에너지·반도체 산업군을 대상으로 정교한 해킹을 시도한 사례를 공개하며 발표를 시작했다.
◆스피어 피싱에서 시작된 고도화된 침투 전술
공격자는 협력사 직원을 사칭한 스피어 피싱 메일을 통해 접근을 시도했다. 메일은 자재 및 장비 견적 요청으로 위장됐으며, 실제 ‘samsung.com’에서 발송된 것처럼 꾸몄지만 확인 결과 IP는 ‘5.230.55.71’이었다. 이 외에도 다양한 중간 릴레이 서버를 활용해 추적을 어렵게 했다.
이메일에 첨부된 .cab 압축파일은 사용자로 하여금 파일을 해제한 뒤, 난독화된 VBS 스크립트를 직접 실행하게 유도했다. 해당 스크립트는 악성 PowerShell 명령을 수행하며, Bitbucket이나 GitHub를 통해 ‘img_test.jpg’ 파일을 다운로드하도록 구성돼 있었다.
◆스테가노그래피와 파일리스 기법 활용한 정교한 공격
‘img_test.jpg’는 정상적인 이미지처럼 보이지만 내부에는 악성코드가 숨겨져 있었다. 공격자는 스테가노그래피 기법을 사용해 이미지 내부에 악성 데이터를 삽입했고, 이를 복호화해 PE(Portable Executable) 형식으로 변환했다. 이 악성코드는 파일리스(fileless) 방식으로 메모리 상에서 실행되며, 이어 로더 역할의 악성코드가 '.txt' 파일로 위장된 추가 데이터를 다운로드하고 Base64 복호화를 통해 최종 페이로드를 생성했다.
이 페이로드는 정상 프로세스에 주입되는 프로세스 할로잉(Process Hollowing) 기법으로 실행돼 시스템 권한을 탈취하고 정보를 수집하기 시작했다.
◆암호화폐 지갑 정보까지…정찰 및 정보 탈취 활동도 수행
공격자는 단순한 감염을 넘어, 브라우저와 플러그인, 일반 소프트웨어를 대상으로 자격 증명을 수집하고, 암호화폐 지갑의 프라이빗 키, 시드 문구, 비밀번호까지 탈취했다. 이러한 정보들은 사용자의 디지털 자산을 직접적으로 위협하며, 시스템 내부 이동을 위한 추가 침투 발판으로도 악용될 수 있다.
◆10월 우크라이나 공격과 동일 그룹 소행 가능성 높아
조 선임은 NSHC ThreatRecon 플랫폼의 상관관계 분석 결과를 공개하며, 해당 공격이 2024년 10월 우크라이나 보험 및 유통 산업을 겨냥한 해킹과 전략, 전술(TTPs), 인디케이터(Indicators)가 거의 동일하다는 점을 강조했다. 이를 통해 두 공격이 동일한 SectorJ149 그룹에 의해 수행됐을 가능성이 매우 높다고 분석했다.
특히 이 그룹은 과거에도 러시아 인근 유럽 국가를 대상으로 원격 뱅킹 시스템 해킹을 시도해온 이력이 있으며, 지정학적 이슈와 맞물려 활동 범위를 확장하고 있다는 점에서 주목해야 한다고 밝혔다.
◆금전적 목적에서 국가적 사이버 전력으로…범죄 조직의 진화
조 선임은 사이버 범죄 해킹 그룹이 단순 금전적 이익을 추구하던 수준에서 벗어나, 특정 국가의 정치·외교적 목적까지 대행하는 국가 전력으로 활용될 수 있음을 지적했다. "어제의 사이버 갱단이 오늘의 사이버 전쟁 자산이 될 수 있다"며, 이러한 위협은 국가 APT와 동일한 수준의 대응 체계를 요구한다고 말했다.
이번 강연의 핵심은 사이버 위협 인텔리전스(CTI)를 기반으로 한 선제적 대응 전략의 필요성이었다. 조 선임은 "우리가 10월 우크라이나 대상 해킹 활동에 대한 CTI를 사전에 확보했다면, 한국 대상 공격에 보다 효과적으로 대응할 수 있었을 것"이라며 CTI의 중요성을 강조했다.
그는 CTI가 단순 정보 수집을 넘어서, 공격자의 의도, 동기, 공격 기법, 프로파일, IOC(침해지표), TTPs 등 다층적인 정보를 종합한 전략·전술·운영적 인텔리전스를 제공해야 한다고 설명했다.
◆“CTI는 공격자를 예측하고 막기 위한 전략의 핵심”
조한국 선임연구원은 “우리는 ‘누가 우리를 공격하려 하는가?’, ‘그들은 어떤 방법을 사용할 것인가?’, ‘우리의 방어 체계는 이를 막을 준비가 되어 있는가?’라는 질문에 명확히 답할 수 있어야 한다. 사이버 위협 인텔리전스는 이 모든 질문에 대한 해답을 찾는 핵심 열쇠다. 단순 방어를 넘어, 실질적인 위협 대응 체계를 갖춘 전략적 보안이 요구되는 시점이다.”라고 강조했다.
NSHC 조한국 선임의 강연자료는 데일리시큐 자료실에서 다운로드 가능하다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
![[K-CTI 2025] 엔키화이트햇 천호진 수석, 북한 연계 Konni 그룹의 정교한 공격 활동 분석 내용 공개해](https://www.dailysecu.com/news/photo/202504/165473_193882_4426.jpg)
![[K-CTI 2025] 넷위트니스 박지원 부장 “위협 헌팅, 조직의 보안 역량 향상 위한 강력한 도구”](https://www.dailysecu.com/news/photo/202504/165467_193867_4159.jpg)
![[K-CTI 2025] 전덕조 씨큐비스타 대표 “탐지 사각지대 여전한 기존 보안…TTP 중심 헌팅 전략 필요” 강조](https://www.dailysecu.com/news/photo/202504/165470_193873_226.jpg)
![[K-CTI 2025] 플레인비트 이준형 센터장, 공격조직 간 협력 실태 분석…“방어도 협력이 필요”](https://www.dailysecu.com/news/photo/202504/165475_193886_164.jpg)
![[K-CTI 2025] 클로인트 루이 구 이사 “신분 세탁해 기업 침투…북한 IT 외화벌이 인력의 조직적 위협 심각”](https://www.dailysecu.com/news/photo/202504/165477_193891_369.jpg)
![[사회 통합 첫발은]② 판치는 가짜뉴스·음모론…"강력 처벌해야" 한 목소리](https://img.newspim.com/news/2025/04/04/250404141342438_w.jpg)
![“외계인 공격에 돌로 변한 소련군”…미 CIA 보고서 다시 화제 [숏폼]](https://img.etnews.com/news/article/2025/04/17/news-p.v1.20250417.4ff7715ce54746bc87b2678abb564477_P2.jpg)
![[K-CTI 2025] 케이토네트웍스 "AI 홍수 시대, SASE는 미래가 아닌 현재의 보안 패러다임”](https://www.dailysecu.com/news/photo/202504/165471_193876_3115.jpg)