🇰🇷 한국 기업 정조준한 북한 해킹조직 '라자루스'…Operation SyncHole 캠페인 분석 🔍

안녕하세요! 오늘은 최근 보안 업계에서 큰 주목을 받은 북한 해킹조직 라자루스(Lazarus Group)의 새로운 사이버 공격 캠페인,
‘Operation SyncHole(싱크홀 작전)’에 대해 알려드릴게요. 😱

이 캠페인은 2024년 11월부터 한국 내 주요 산업군을 겨냥해 물밑에서 진행되어 온 것으로 밝혀졌습니다.

---

🎯 누구를 노렸나? 타깃은 한국의 핵심 산업

Kaspersky가 발표한 보고서에 따르면, 이번 공격의 표적이 된 산업군은 다음과 같아요:

• 소프트웨어 및 IT 기업
• 금융 기관
• 반도체 제조사
• 통신사

즉, 한국 경제와 기술의 핵심 축을 구성하는 분야들이 직접 타깃이 된 것이죠. 😨

---

🕳️ 워터링 홀(Watering Hole) + 제로데이 공격 조합

이번 캠페인의 핵심 전략은 워터링 홀 공격입니다.

사용자가 자주 방문하는 한국 온라인 언론사 웹사이트에 악성 코드를 심어
접속한 대상에게 자동으로 악성 프로그램을 내려보내는 방식이에요.

심지어 이 과정에서 CrossEX라는 보안 소프트웨어의 취약점이 활용됐다고 합니다.

CrossEX는 온라인 뱅킹, 공공기관 로그인 등에 사용되는
한국 특화 보안 솔루션으로, 키로깅 방지와 공인인증서 서명 기능 등을 담당해요.

즉, 한국 사용 환경을 너무도 잘 아는 공격자가 철저히 국내 환경을 연구해 타깃형 공격을 수행했다는 증거죠. 💥

---

💣 사용된 악성코드: ThreatNeedle, AGAMEMNON 외 다수

Lazarus는 이번 공격에서 자신들이 개발한 여러 악성 도구를 활용했습니다.

1️⃣ 초기 감염

• 사용자가 악성 사이트에 접속 → 필터링 후 특정 조건에 맞는 사용자만 공격
• SyncHost.exe라는 정상 파일에 악성코드를 인젝션하여 ThreatNeedle을 실행

2️⃣ 감염 확산 및 정찰

• wAgent, SIGNBT, COPPERHEDGE를 활용해
  • 백도어 설치
  • 시스템 정보 수집
  • 계정 크리덴셜 탈취 등 수행

3️⃣ 지속성 확보 및 확장 공격

• AGAMEMNON이라는 다운로더를 통해 명령제어(C2) 서버와 통신
• LPEClient를 이용해 사용자 정보 정밀 수집
• 추가 모듈을 실시간으로 다운로드 및 실행

---

⚠️ 인노릭스 에이전트 취약점까지 이용한 '측면 이동'

가장 주목할 부분은 Innorix Agent의 제로데이 취약점을 이용한 측면 이동(Lateral Movement)이에요.

이 공격은 감염된 한 컴퓨터에서 같은 네트워크에 있는 다른 시스템까지 침투하는 방식입니다.
Andariel 같은 라자루스의 하위 조직도 이 기법을 종종 사용하는 것으로 알려졌어요.

Kaspersky는 이 과정에서 새로운 파일 다운로드 제로데이 취약점도 추가로 발견했으며,
이 취약점은 현재 Innorix 측에서 패치 완료했다고 밝혔습니다. ✅

---

🧠 공격 방식의 정교화, 그리고 탐지 회피 전략

이번 캠페인의 특징 중 하나는 탐지를 회피하는 전략이 점점 정교해지고 있다는 점이에요.

• 명령어 전송 방식의 변경
• 통신 포맷 수정
• C2 서버와의 커뮤니케이션 암호화
• 멀웨어 코드 일부 변형

기존 보안 솔루션이 감지하지 못하도록 은밀함을 극대화한 형태로 진화하고 있다는 의미죠. 🧬

---

🧩 '공급망 공격(Supply Chain Attack)' 가능성도 내포

이번 SyncHole 작전은 단순한 APT 공격을 넘어
공급망을 활용한 장기적 위협 가능성도 제기되고 있어요.

즉, 보안이 허술한 소프트웨어 또는 시스템 업데이트를 통해
정상적인 방식으로 악성코드를 유입시키려는 시도도 우려되고 있습니다.

---

🛡️ 대응 방안은?

이번 사례는 기업 내부망 보안 강화와 소프트웨어 보안 취약점 패치의 중요성을 다시금 일깨워줍니다.

• 🔒 CrossEX 및 Innorix Agent 최신 버전 업데이트
• 🚫 불필요한 사이트 접근 차단 및 사용자 교육
• 🕵️‍♂️ 이상 징후 탐지 로깅 활성화
• 🧰 EDR 및 위협 인텔리전스 연계 솔루션 도입
• 🧪 침해사고 대응(IR) 시나리오 점검 및 테스트

---

📝 마무리 정리

• 북한 해킹조직 Lazarus가 한국 핵심 산업 노려 Operation SyncHole 실행
• CrossEX, Innorix Agent 취약점 이용해 정교하게 침투
• ThreatNeedle, AGAMEMNON 등 복합적인 악성코드 조합 사용
• 탐지 회피와 lateral movement에 주력한 공격 패턴
• 한국 소프트웨어 생태계와 사용자 행태를 철저히 분석한 맞춤형 위협