 |
12일 지니언스시큐리티센터(GSC)에 따르면, 북한 배후 해킹조직으로 알려진 김수키는 올해 3월부터 4월까지 한국에서 페이스북·이메일·텔레그램 이용자를 겨냥한 APT 공격을 시도했다. 김수키 그룹은 ▲애플시드 ▲베이비샤크 ▲플라워파워 등 세가지 공격 도구를 주로 활용하는데, 이번 공격 시도에는 애플시드가 사용된 것으로 나타났다.
애플시드는 C&C서버(Command&Control 서버·공격자가 악성코드를 원격으로 조종하기 위해 상용하는 서버)로부터 전달받은 공격자의 명령을 수행하는 백도어 악성코드다. 공격자는 애플시드를 이용해 감염 시스템을 제어하거나 추가 악성코드를 설치할 수 있는데, 이를 위해 다운로더 기능을 악용하거나 키로깅·스크린 캡처·사용자 시스템 파일 수집 등을 활용해 정보 탈취를 시도한다.
김수키 그룹이 애플시드를 활용하고 있다는 사실은 약 6년 전 처음 보고돼, 지금까지 이어지고 있다. 애플시드는 과거 공격 사례와 동일하게 자바스크립트(JavaScript) 드로퍼 악성코드를 이용한 유포 방식을 채택하고 있다. 자바스크립트 드로퍼 악성코드는 애플시드를 설치하면 동시에 문서 파일(HWP·PDF 등)을 생성해 보여주는데, 이 때문에 사용자는 정상 문서 파일을 실행한 것으로 착각하게 된다.
GSC가 이번에 포착한 애플시드 공격 시도는 3단계(페이스북-이메일-텔레그램)로 나눠 진행됐다. 먼저 김수키 그룹은 '트랜지셔널 저스티스 미션(Transitional Justice Mission'이라는 이름의 계정으로 대북분야 종사자들에게 온라인 친구 신청을 걸거나 메신저로 대화를 신청했다. 본인 신분을 특정 교회의 전도사 또는 연구원 목사로 소개한 것이 특징이다. 이후에는 특정 문서를 공유하는 것처럼 관심을 유발해, 악성파일을 전송했다. 악성파일은 압축 포맷(EGG)에 비밀번호가 설정된 형태로 전달됐다.
여러 페이스북 계정을 생성해 사용하기도 했다. 공격자는 공군사관학교 출신으로 자신을 소개했고, 한국인 남성으로 추정되는 사진을 등록해 의심을 피해가기도 했다. GSC는 "일정 기간 후 프로필 사진이 제거된 상태"라고 설명했다. 이때 공격자는 '탈북민 자원봉사 활동 방향과 관련해 도움을 부탁드린다' 등의 내용으로 현혹해 대상자에게 접근을 시도했다. 김수키의 경우 대북분야 활동가를 대상으로 정보 탈취를 꾸준히 시도하고 있는데, 이들의 관심을 끌만한 주제로 대화를 시도한 것으로 풀이된다.
 |
GSC가 분석한 스피어피싱 메일 사례를 살펴보면, 공격자는 대용량 첨부파일이나 본문에 별도 인터넷주소(URL) 링크를 삽입해 파일을 받도록 구성했다. 파일명은 '탈북민지원봉사활동' 등을 기재돼 있어 관심을 유도했다. GSC는 "EGG 압축 포맷을 사용했고, PC환경에서 특정 압축해제 프로그램을 사용하도록 안내하기도 했다"며 "윈도 기반 악성파일이기 때문에, 스마트폰과 같은 모바일 기기(디바이스)에서 열람하는 것을 제한하기 위한 유인 조치로 보여진다"고 설명했다.
만약 공격자가 사용자 휴대전화 번호까지 파악한 경우에는, 텔레그램으로 메시지를 전달하기도 했다. GSC는 "그만큼 위협 행위자는 적극적인 공격 행동을 보이고 있다"며 "탈북민을 상대로 한 공격 수법이 다양해지고 있다는 점을 명심해야 한다"고 말했다. 텔레그램 외에도 다른 온라인 메신저를 활용했을 가능성도 점쳤다.
애플시드가 설치돼 정보 탈취 등이 발생할 가능성이 커졌다는 취지다. GSC는 "페이스북, 이메일, 텔레그램 등 다양한 수법을 공격에 동원하고 있다는 점을 명심해야 한다"며 "갑자기 전달받은 URL 주소나 파일에는 위협 요소가 포함됐을 가능성을 염두에 두고 대비해야 한다"고 강조했다.
 |
- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -
이 기사의 카테고리는 언론사의 분류를 따릅니다.