북한과 중국 사이버 위협: IT 노동자 활용과 스파이 활동

Microsoft shares latest intelligence on North Korean and Chinese threat actors at CYBERWARCON | Microsoft Security Blog

 

• 북한의 IT 노동자 활용 전략
  • 목적
    • 해외에서 합법적 IT 작업으로 외화를 벌어들임
    • 기밀 정보 및 소스코드 탈취
    • 조직 데이터를 훔치거나 랜섬웨어 방식으로 협박
  • 작업 과정
    • 가짜 프로필 및 포트폴리오 생성 (AI 활용)
    • 원격 근무 지원 플랫폼에 계정 등록
    • 인터뷰 및 작업 참여를 통해 조직 접근
    • 작업 대가로 받은 돈을 세탁 후 북한으로 송금
  • 추적 어려움
    • 중개인(facilitator)을 활용해 계정 생성 및 관리
    • GitHub, LinkedIn 등의 플랫폼에서 활동
• 북한의 위협 그룹: Sapphire Sleet 및 Ruby Sleet
  • Sapphire Sleet
    • 암호화폐 탈취 및 네트워크 해킹
    • 가짜 투자자나 리크루터로 위장해 악성 스크립트 배포
    • 피해 금액: 6개월 동안 1,000만 달러 이상
  • Ruby Sleet
    • 위성 및 방위 관련 기관 타겟
    • 서명된 악성 소프트웨어 및 VPN 클라이언트를 배포
    • 맞춤형 공격 도구로 방위 기술 탈취
• 중국 기반 위협 그룹: Storm-2077
  • 활동 분야
    • 정부 및 비정부 기관, 방위 산업, 통신 등 다양한 부문
  • 공격 방식
    • 피싱 이메일로 자격 증명 탈취
    • 클라우드 애플리케이션 접근 후 이메일 데이터 탈취
    • 타겟 환경에 맞춘 맞춤형 악성 앱 개발
  • 목표
    • 지능 정보 수집
    • 이메일 내 민감한 정보(재정, IP, 직원 데이터) 확보
• 보안 권고
  1. 고용 및 계정 검증 강화: IT 노동자 채용 시 카메라 확인 및 작업 샘플 검토
  2. 이메일 보안 강화: 다단계 인증(MFA) 도입 및 이메일 필터링
  3. 클라우드 환경 보안: 관리자 권한 관리 및 로그 모니터링
  4. 교육 및 인식 향상: 피싱 및 사회공학적 공격에 대한 직원 교육
• 결론
  • 북한 및 중국 기반 사이버 위협은 IT 노동자, 암호화폐, 클라우드 기술을 활용한 새로운 전략으로 진화
  • 조직은 정교해지는 위협에 대응하기 위해 고용 프로세스, 클라우드 보안, 데이터 보호를 강화해야 함