앵커 :북한 해커들이 온라인 파일보관 서비스, 구글드라이브를 악용해 해킹을 해 온 사실이 밝혀졌습니다. 이들은 새로운 악성코드를 통해 피해자들의 컴퓨터 뿐 아니라 휴대폰까지 감시했던 것으로 나타났습니다. 자세한 내용 자민 앤더슨 기자가 보도합니다.
유럽의 다국적 사이버 보안업체 ESET(이셋)이 지난달 30일 새로운 보고서를 통해 북한의 해킹 조직 스카크러프트(ScarCruft)가 새롭게 발견된 악성코드 ‘돌핀(Dolphin)’을 이용해 간첩 활동을 하고 있다고 공개했습니다.
보고서에 따르면 돌핀은 지난 4월 스카크러프트가 북한 관련 언론인들에 대한 사이버 공격에 사용한 ‘블루라이트(Bluelight)’라는 백도어 악성코드보다 더 정교하고 강력한 버전입니다.
‘뒷문’이라는 뜻의 백도어 공격은 주인 몰래 뒷문으로 드나드는 것을 비유한 말로, 허점을 이용해 인증 절차 없이 공격 대상의 시스템에 접근해 가하는 공격을 뜻합니다.
이번 보고서의 저자인 필립 유르차코(Filip Jurchacko) 연구원은 돌핀이 구글의 온라인 파일 저장공간 서비스, 구글 드라이브를 악용하고 있다는 점에 주목했습니다.
악성코드 돌핀은 해커가 지시한 명령을 구글 드라이브 저장소에서 내려받아 실시하는 데 이어, 해킹 대상의 컴퓨터 저장장치에서 훔친 파일을 구글 드라이브로 다시 내보내기 때문입니다.
보고서에 따르면 돌핀은 또한 컴퓨터 본체에 있는 고정 저장장치 뿐 아니라 이동식 저장장치인 USB드라이브와, 컴퓨터와 연결된 휴대용 전화기까지 능동적으로 감시해 영상이나 음악 파일, 문서, 전자 우편 및 인증서 자료를 찾아낼 수 있습니다.
유르차코 연구원은 돌핀이 심지어 피해자 컴퓨터에 보관된 특정 파일을 삭제하는 기능도 있다며 주의를 환기시켰습니다.
그는 이 밖에도 돌핀은 웹 브라우저 크롬, 엣지, 인터넷 익스플로러에 저장된 아이디와 비밀번호를 훔쳐 도용하거나 30초마다 브라우저의 화면을 캡쳐하는 등 광범위한 간첩 기능을 갖추고 있다고 덧붙였습니다.
또한 돌핀은 현재 로그인 되어있는 구글과 전자우편(G메일) 계정의 설정을 수정할 수 있는데, 이는 기본 설정에 비해 일부러 보안 수준을 낮춰서 장기적인 해킹 활동을 용이하게 하기 위한 목적이라고 설명했습니다.
보고서는 이어 돌핀은 소수의 선택된 피해자만을 대상으로 더 정교한 공격을 진행한다며 이는 고도로 표적화된 간첩 활동이라고 밝혔습니다.
보고서는 해킹의 피해자에 대해 구체적으로 공개하지는 않았지만, 해킹 조직 스카크러프트가 주로 한국과 아시아 국가의 정부 및 군사 조직, 그리고 북한의 이익과 연계된 다양한 사업의 기업들에 관심이 있다고 명시했습니다.
ESET의 연구원들은 4개의 다른 버전의 돌핀 백도어를 발견했는데, 돌핀이 2021년 4월에 처음 등장한 이후 자체적인 기능 개선과 더 많은 보안 탐지 회피 기능을 포함하면서 지속적으로 진화하고 있다고 말했습니다.
그러면서 지금도 새로운 버전의 돌핀이 해킹 공격에 사용되고 있을 가능성이 있다고 밝혔습니다.
한편 스카크러프트가 악용하고 있는 구글드라이브 서비스를 제공하는 미국의 다국적 정보기술 회사 구글은 이 사안에 대한 자유아시아방송(RFA)의 질의에 1일 오후까지 답변하지 않았습니다.
스카크러프트는 북한 정찰총국이 육성하고 지원하는 해킹 조직으로 APT37, 리퍼(Reaper) 혹은 레드아이즈(Red Eyes)라고도 불립니다.
스카크러프트는 지난 2020년 영국 주재 북한대사관 공사 출신인 태영호 한국 ‘국민의힘’ 소속 의원의 휴대용 전화기를 해킹한 정황이 드러나기도 했습니다.
기자 자민 앤더슨, 에디터 양성원, 웹팀 이경하