교묘해지는 北 해킹 공격…컴퓨터와 스마트폰 동시에 노렸다

해킹
2차 북미 정상회담을 앞두고 북한으로 추정되는 해커들의 공격이 활발해지고 있는 것으로 전해졌다. / 사진=pixabay

북한 해커조직으로 알려진 금성121이 또다시 해킹 공격을 시도한 것으로 전해졌다. 이번 해킹 공격은 컴퓨터와 안드로이드 기반 스마트폰을 동시에 노린 복합적인 공격으로 나타났다. 금성121의 해킹 방법이 갈수록 교묘해지고 있어 각별한 주의가 요구된다.

이스트시큐리티 시큐리티대응센터(ESRC)는 5일 “탈북민 지원 분야 대상자를 겨냥한 것으로 추정되는 복합적 지능형지속위협(APT) 공격이 국내에서 포착됐다”며 “위협 배후에 ‘금성121(Geumseong121)’ 해킹그룹이 조직적으로 가담 중임을 확신하고 있다”고 밝혔다.

ESRC는 “이번 공격의 특징은 윈도우 운영체제 및 안드로이드 스마트폰을 동시에 퓨전으로 노렸다는 점”이라며 “공격자는 JPG 이미지 뷰어 파일로 위장해 악성코드를 은밀하게 삽입하는 이른바 ‘스테가노그래피’(steganography) 기법을 활용했다”고 설명했다.

스테가노그래피는 데이터 은폐 기술 중 하나로, 사진이나 음악, 동영상 등의 일반적인 파일 안에 데이터를 숨기는 기술을 말한다.

특히 이번 공격은 이메일에 악성 파일을 첨부하거나 본문에 악성 링크를 포함하는 등 기존 북한 해커들이 주로 사용하던 방식을 벗어난 것으로 파악됐다.

ESRC는 “(공격자는) 보안 탐지를 최대한 우회하기 위해 텍스트 파일을 (이메일에) 첨부했고, 텍스트 파일 내부에 (악성 파일을) 다운로드할 수 있는 단축 URL을 포함하는 치밀함을 보였다”면서 “이런 방식은 번거로운 절차로 수신자가 다운로드하지 않게 할 수도 있지만, 업무적으로 높은 관심 분야라면 수동접근을 통해 파일을 다운로드할 가능성도 배제하기 어렵다”고 했다.

이 같은 해킹 방식은 특정 분야에 관심을 가진 수신자를 유인하기에 유리하다는 점에서 공격 대상자에 대한 상당한 사전 정보수집이 이뤄졌을 가능성이 있다.

북한 해커는 첫번째 이메일에서 공격하지 않고 두번째 이메일에서 악성코드를 보냈다. /사진=이스트시큐리티 시큐리티대응센터 제공

실제 금성121은 첫 번째 이메일에서 해킹하지 않고 회신을 받은 후 두 번째 이메일에서 공격을 본격화했다. 첫 번째 메일에서 상대를 안심시켜 신뢰를 얻은 뒤에 공격을 시도한 것이다.

ESRC는 “두 번째 전송된 이메일에는 텍스트 파일과 암호화된 JPEG 이미지 파일 2개가 첨부돼 있는데, 그중 텍스트 파일에는 윈도우와 스마트폰을 이용해 단축 URL에 접근하도록 유도하는 내용을 담고 있다”고 말했다.

이어 ESRC는 “단축 URL 주소로 접근하면 드롭박스 경로를 통해 암호화 압축된 EXE 파일과 APK 앱이 다운로드되며, 사용자가 접속한 환경에 맞춰 적합한 악성코드를 내려받게 된다”고 설명했다.

먼저 윈도우 운영체제에서 접속한 경우에는 ‘JPGE_Viewer.exe’ 파일이 다운로드 된다. 겉으로 보기에는 정상적으로 암호화된 이미지 뷰어처럼 보이며, 실제 이 프로그램은 단독으로 악의적인 기능을 수행하지는 않는다.

그러나 이메일에 첨부돼 있던 암호화된 이미지 파일을 이 프로그램에서 로딩하면 내부에 포함된 코드가 은밀히 풀리는 작업이 진행되는데, 바로 이 과정에서 악성코드가 나타나는 것이다. 실제 공격자는 피해자에게 의심을 받지 않기 위해 정상적인 이미지 화면을 보여주는 치밀함을 보였다.

ESRC는 “악성코드는 드롭박스를 통해 C2 명령을 수행하고 감염된 컴퓨터의 정보를 유출한다”며 “이 공격에 쓰인 코드는 기존 ‘금성121’ 조직이 꾸준히 사용하던 방식과 동일하다”고 설명했다.

악성코드에 감염되면 실제 문서가 나온다. 공격자는 이를 통해 사용자가 감염됐다는 사실을 숨긴다. / 사진=이스트시큐리티 시큐리티대응센터 제공

이밖에 안드로이드 스마트폰에서 접속하는 경우에는 이미지 뷰어 악성 앱이 다운로드된다. 이 앱은 설치 후 기본적인 뷰어 기능을 제공하고 있어 사용자가 악성 앱에 감염됐다는 사실을 인지하기 어렵게 하고 있다.

ESRC는 “사용자가 악성 앱을 설치하게 되면 악성 앱은 피해자의 휴대전화에 설치된 채로 백그라운드에서 동작하며 피해자의 통화를 녹취하고, 이렇게 녹취된 통화 내용은 공격자가 사전에 설정해둔 C2 서버로 전송된다”고 말했다.

이어 ESRC는 “공격자가 C2 서버를 통해 추가 악성 앱을 다운로드 및 실행할 수 있게 만든다”며 “(이 공격에서도) 금성121 조직이 기존에 활용한 악성 앱들과 일부 유사한 코드가 발견됐다”고 덧붙였다.

그러면서 ESRC는 “금성121이 스테가노그래피 기법뿐만 아니라 안드로이드 기반 스마트폰 이용자의 정보까지 노리고 있다”며 “안드로이드 스마트폰 이용자는 APK 앱을 설치할 때 각별한 주의가 필요하고, 가급적 공식 마켓에서 검증된 앱을 설치할 것을 권한다”고 당부했다.