앵커 :지난 2월 북한 해킹 조직이 기밀 정보를 탈취하기 위해 군사 관련 기업을 공격했다는 분석이 제기됐습니다. 지정은 기자가 보도합니다.
미국의 사이버 보안업체 시만텍은 27일 보고서를 통해 북한 연계 해킹 조직인 '스톤플라이'(Stonefly)가 지난 2월 에너지·군사 부문 관련 엔지니어링 기업을 공격했다고 밝혔습니다.
시만텍은 스톤플라이가 이 기업의 컴퓨터 18대를 손상시키고 정보를 빼내기 위해 '백도어', 즉 관리자 몰래 컴퓨터와 암호 시스템 등에 접근하도록 하는 악성 코드를 설치했다고 전했습니다.
다만 스톤플라이의 공격 대상이 된 기업에 대한 정보나 피해 상황 등은 알려지지 않았습니다.
이번 공격을 감행한 스톤플라이는 다크서울, 블랙마인, 트로이작전, 조용한 천리마 등의 이름으로도 알려져 있습니다.
스톤플라이는 지난 2009년 7월 한국과 미국의 정부, 금융기관 웹사이트에 디도스(DDoS·분산서비스거부) 공격을 감행해 처음 알려졌으며, 2011년 디도스 공격 당시 이들의 작전은 디도스 공격 이외에도 정보 탈취 목적이 있다는 사실이 드러나기도 했습니다.
보고서는 "최근 몇 년간 스톤플라이의 역량이 눈에 띄게 진전됐다"며 "적어도 2019년 이후 공격의 초점을 스파이(간첩) 작전으로 변경하면서, 민감한 기밀 정보나 지적 자산을 보유한 조직을 겨냥하는 데 특화한 것으로 보인다"고 설명했습니다.
스톤플라이가 에너지, 항공 우주, 군 장비 등 전략적으로 중요한 분야의 정보를 취급하는 기업들을 선택적으로 공격한다는 설명입니다.
그러면서 보고서는 스톤플라이가 관심을 보이는 사실상 모든 기술은 군사용과 민간용으로 모두 사용 가능하며, 이 중 일부는 첨단무기 개발에 이용될 수 있는 기술이라고 덧붙였습니다.
보고서는 이어 "스톤플라이의 작전은 정보 및 지적 자산을 탈취하려는 북한 당국의 광범위한 캠페인의 일부인 것으로 보인다"며 북한의 또 다른 해킹 조직인 '폼필루스' 역시 정보 탈취를 목적으로 활동한다고 덧붙였습니다.
이런 가운데 러시아 보안업체 '카스퍼스키'(Kaspersky)는 27일 '2022년 1분기 지능형지속위협(APT) 동향 보고서'를 통해, 북한 해커 조직으로 알려진 '코니'가 2021년 중반 이후 러시아 외교당국을 대상으로 3건의 공격을 감행했다고 밝혔습니다.
코니는 신년 연하장으로 위장한 압축파일을 비롯해, 악성 코드를 포함한 문서, 코로나19(코로나 비루스) 관련 애플리케이션(응용프로그램)으로 위장한 설치 프로그램 등을 이용한 것으로 나타났습니다.
코니는 이처럼 피해자의 컴퓨터를 손상시킨 후, 피해자의 컴퓨터 화면을 캡쳐, 즉 사진 찍거나 키보드로 입력되는 정보를 가로챌 수 있는 프로그램을 피해자의 컴퓨터에 설치했습니다.
카스퍼스키는 또 이번 보고서에서 북한의 대표적인 해킹 조직인 라자루스가 최근 디파이(Defi·탈중앙화 금융) 애플리케이션, 즉 가상화폐 지갑 관련 프로그램을 이용해 사이버 공격을 감행한 사례도 적시했습니다.
기자 지정은, 에디터 양성원, 웹팀 김상일