앵커: 미국의 제재 대상인 북한 해킹그룹 라자루스가 2단계 인증용(2FA) 앱에 미국 애플사의 맥운영 체제용(MacOS) 악성코드를 심어 공격에 나섰다고 미국의 사이버 보안업체가 밝혔습니다. 양희정 기자가 보도합니다.
미국의 사이버 보안업체 멀웨어바이트(Malwarebytes)는 6일 라자루스와 연계된 악성코드를 맥 컴퓨터용으로 변환한 것으로 보이는 새 변종 악성코드 Dacls RAT(Remote Access Trojan/Tool) 원격관리 도구를 최근 발견했다고 밝혔습니다.
Dacls RAT는 중국의 보안업체 치후360 넷랩(Qihoo 360 NetLab)이 지난해 12월 발견한 윈도우와 리눅스 기반 원격 조정용 악성코드라고 멀웨어바이트는 설명했습니다.
그러면서 이 악성코드는 미나오티피(MinaOTP)로 명명된 맥운영 체제용 2단계 인증용 앱을 통해 배포된다고 덧붙였습니다.
원격관리 도구란 원격 조정자가 마치 공격을 받은 컴퓨터 시스템에 물리적 접근권이 있는 것처럼 시스템을 원격조정하고 제어하도록 하는 소프트웨어나 프로그램을 말합니다.
북한 해킹 문제에 정통한 익명을 요구한 사이버 보안관계자는 7일 자유아시아방송(RFA)에 윈도우 운영체제 기반 라자루스의 핵심 악성코드를 맥용으로 완벽히 변환한 악성코드는 처음보는 것 같다고 말했습니다.
과거 미국의 소니픽처스나 한국 청와대 디도스 공격에 사용된 라자루스의 핵심 악성코드의 모든 기능(full set)을 맥용으로 변환했기 때문에 원격으로 제어할 때 컴퓨터를 원격으로 끌수도 있고, 화면을 캡쳐해서 가져가거나 컴퓨터 내 파일을 삭제하는 등 많은 공격을 할 수 있다고 그는 설명했습니다.
전형적인 라자루스의 명령체제와 프로토콜이고 플랫폼만 윈도우에서 맥으로 바뀌었다고 그는 말했습니다.
북한이 2017년부터 맥운영 체제를 기반으로 한 악성코드를 만들어 오기는 했지만 정보를 탈취하는 등 비교적 간단한 악성코드였다고 그는 덧붙였습니다.
따라서 라자루스가 기능과 정교함을 갖추고 공격 대상을 맥운영 체제 사용자로 확대했다는 의미라는 지적입니다.
또한 라자루스가 가상화폐 거래소나 사용자를 자주 공격했다는 점에서 미나OTP 악성코드가 가상화폐 거래소 공격용일 가능성이 있다고 그는 분석했습니다.
OTP즉 고정된 패스워드가 아닌 무작위로 생성되는 일회용 패스워드를 이용하는 사용자인증방식이 가상화폐거래소와 같은 기관에서 많이 사용되기 때문이라고 그는 전했습니다.
북한 정보기술관련 웹사이트 노스코리아테크(North Korea Tech)의 마틴 윌리엄스 편집장은 맥운영 체제를 기반으로 한 악성코드는 특정 집단을 공격(targeted attack)하기 위한 것일 수 있다고 말했습니다.
윌리엄스 편집장: 맥운영 체제를 사용하는 연구자나 언론인들이 많습니다. 저와 제 주변의 북한 관련 연구하는 사람 중 다수가 맥운영 체제를 사용하기 때문에 북한의 윈도우 기반 해킹 공격을 피할 수 있습니다. 이처럼 특정 집단(certain community)을 공격하기에 맥운영 체제를 기반으로 한 악성코드가 유리할 수 있습니다.
윈도우 운영체제 사용자가 훨씬 많기 때문에 특정 집단을 공격 목표로 하지 않는다면 윈도우 운영체제 기반 악성코드만 사용해도 되기 때문이라고 그는 덧붙였습니다.
0:00 / 0:00