앵커 :북한의 해킹 조직이 한국에서 가장 많이 사용하는 문서 프로그램과 이미지에 악성코드를 숨기는 수법으로 해킹을 시도하고 있다는 분석이 나왔습니다. 북한의 해킹 수법이 날로 교묘해지고 있습니다. 자세한 내용 자민 앤더슨 기자가 보도합니다.
한국의 사이버 보안 업체, 안랩의 긴급보안대응센터 분석팀은 14일 보고서를 내고 북한의 해커 조직 레드아이즈(RedEyes)가 새로운 해킹 수법을 쓴 정황이 확인됐다고 밝혔습니다.
북한 정찰총국 소속으로, 스카크러프트 혹은 APT37이라고도 불리는 레드아이즈는 주로 기업이 아닌 특정 개인을 대상으로 공격을 감행해 컴퓨터와 휴대전화의 데이터를 탈취하는 조직입니다.
보고서에 따르면 레드아이즈는 한국에서 널리 사용되는 문서 프로그램 한글 워드프로세서(HWP)의 오래된 버전이 가진 취약점을 이용해 악성코드를 유포했습니다.
안랩은 지난 1월 13일, 이번 해킹에 사용된 “양식.hwp”라는 이름의 한글 워드프로세서 파일을 분석해 이같은 이같은 해킹 수법을 확인했다고 밝혔습니다.
먼저 피해자가 전자우편에 첨부된 한글 워드프로세서 파일을 열면 피해자의 컴퓨터를 제어할 악성코드가 실행되는데, 이 악성코드는 공격자 서버로부터 이미지 파일을 다운로드 받는 역할을 합니다.
이어 다운로드 받은 이미지에 ‘스테가노그래피’ 기법으로 저장된 추가 악성코드 ‘M2RAT’가 자동으로 피해자의 컴퓨터 또는 휴대전화에 설치돼 사용자의 정보를 유출하는 방식입니다.
‘스테가노그래피’는 영상이나 사진에 메시지를 숨기는 기법으로, 과거 북한 지령으로 한국에서 간첩 활동을 벌인 혐의로 적발된 지하당 조직 ‘왕재산’이 수사기관의 추적을 피하기 위해 사용한 것으로도 알려져 있습니다.
대부분의 보안 프로그램이 속도 저하를 이유로 사진이나 영상을 꼼꼼하게 탐지하지 않는다는 약점을 파고들어, 레드아이즈가 해킹에 이러한 수법을 활용한겁니다.
보고서는 또한 레드아이즈가 유포한 악성코드 M2RAT는 감염시킨 컴퓨터에 해킹과 정보 유출의 흔적을 거의 남기지 않는 특징이 있다고 밝혔습니다.
보고서에 따르면 이 악성코드는 공격자가 추가 명령을 내리지 않더라도 주기적으로 감염된 컴퓨터의 화면을 캡쳐해 공격자 서버에 전송하며, 이동식 저장소나 공유 폴더에 있는 민감한 자료나 음성 녹음 파일도 복사해 공격자 서버에 전송합니다.
안랩은 레드아이즈에 대해 주로 인권 운동가, 기자, 탈북자 등 개인들을 대상으로 공격을 감행한다며, 이러한 공격은 미리 탐지, 방어하기가 매우 까다롭기 때문에 기업이 아닌 개인은 피해를 인지하는 것조차 어려울 수 있다고 말했습니다.
그러면서 이번 공격의 목적은 정보 유출인 것으로 평가했습니다.
한편 레드아이즈는 지난 2020년 영국 주재 북한대사관 공사 출신인 태영호 한국 ‘국민의힘’ 소속 의원의 휴대전화를 해킹한 정황이 드러나기도 했습니다.
기자 자민 앤더슨, 에디터 양성원, 웹팀 이경하