앵커 :북한 해커들이 북한 관련 정보를 수집하고 분석하는 기관들을 겨냥해 새로운 멀웨어(Malware), 즉 악성코드를 이용한 사이버 공격을 시도한 정황이 발견됐습니다. 조진우 기자가 보도합니다.
미국 사이버보안업체 ‘센티넬원’(SentinelOne)은 최근(4일) 북한 해킹 조직인 김수키가 북한 관련 정보나 현황을 다루고 분석하는 업체를 겨냥해 새로운 스피어 피싱(Spear Phishing) 활동을 벌였다고 밝혔습니다.
해킹 수법의 하나인 스피어 피싱은 신뢰할 수 있는 개인이나 단체로 가장한 발신자가 특정대상에 표적화된 내용의 이메일을 발송해 악성코드를 퍼뜨리는 사이버 공격입니다.
특히 이번 스피어 피싱에서 북한 해커들은 ‘레콘샤크’(ReconShark)라고 불리는 새로운 멀웨어, 즉 악성코드를 사용한 것으로 드러났습니다.
새 멀웨어는 북한 관련 정보를 다루는 ‘코리아리스크그룹’(Korea Risk Group, KRG) 관계자들에게 발송된 이메일에서 파악됐으며, 이는 김수키가 지난해 사이버 공격에서 사용하던 ‘베이비샤크’(BabyShark)라는 멀웨어의 변종인 것으로 밝혀졌습니다.
센티넬원은 김수키가 코리아리스크그룹 뿐 아니라 북미와 유럽, 아시아의 정부기관과 연구센터, 대학기관에 소속되어 있는 개인들에게도 해당 공격을 진행했다고 전했습니다.
센티넬원의 연구원인 톰 헤겔(Tom Hegel)과 알렉산다르 밀렌코스키(Aleksandar Milekoski)는 “합법적으로 보이는 내용과 문구, 디자인 요소들을 사용해 이메일을 만들기 때문에 공격 대상자가 이를 열어볼 가능성이 높다”며 “특히 악성문서가 첨부된 이메일에는 실존하는 인물의 이름을 사용한다”고 설명했습니다.
이 문서를 열 경우 수신자의 컴퓨터에 백도어(backdoor)가 설치되면서 원격으로 제어할 수 있기 때문에 개인정보에 접근이 가능해집니다.
백도어 공격은 주인 몰래 뒷문으로 드나드는 것을 비유한 말로 보안 허점을 이용해 인증 절차 없이 공격 대상의 시스템에 접근해 가하는 공격을 뜻합니다.
또 센티넬원은 이전에 발견됐던 베이비샤크와 다르게 레콘샤크는 정보를 훔치는데 그치지 않고, 필요에 따라 악성 페이로드(payload), 즉 악성 데이터를 심을 수 있다고 경고했습니다.
헤겔과 밀렌코스키 연구원은 “레콘샤크는 정보유출 외에도 피해자가 어떤 종류의 탐지기능을 활용하는지 파악하고, 그에 맞춘 페이로드를 추가로 설치하기도 한다”며 “베이비샤크보다 능동적이고 맞추형 공격을 실시할 수 있다는 것”이라고 말했습니다.
한편 김수키는 2012년부터 활동을 시작한 북한 정찰총국 산하 해커조직으로, 전 세계 기관과 개인을 대상으로 사이버 공격 활동을 전개해 오고 있습니다.
기자 조진우, 에디터이상민, 웹팀 이경하