2019-09-19 11:11 (목)
해킹조직 ‘김수키’와 연계된 ‘코니’ APT 조직, 국내 스마트폰 사용자 대상 공격 포착돼
상태바
해킹조직 ‘김수키’와 연계된 ‘코니’ APT 조직, 국내 스마트폰 사용자 대상 공격 포착돼
  • 길민권 기자
  • 승인 2019.08.26 00:19
이 기사를 공유합니다

암호화폐 거래소 회원 대상 계정보호용 안드로이드 앱 설치유도 문구로 현혹
암호화폐 거래소 해킹공지 안내로 사칭한 이메일 화면. 이스트시큐리티 제공.
암호화폐 거래소 해킹공지 안내로 사칭한 이메일 화면. 이스트시큐리티 제공.

8월 23일 오후, 한국내 비트코인 거래소 해킹 공지로 위장한 스피어 피싱(Spear Phishing) 공격이 발견되었다. 안드로이드 스마트폰을 대상으로 한 이번 공격은 정부 후원 해킹조직 ‘김수키’와 직간접적 연계 조직인 '코니(Konni)' 그룹의 소행인 것으로 추정되고 있다.

이스트시큐리티 시큐리티대응센터(이하 ESRC) 측은 여러 공격벡터와 각종 지표를 종합한 결과, 기존 '코니(Konni)' 그룹을 이번 공격 배후로 지목했으며, 이른바 '김수키(Kimsuky)' 조직과 직간접 연계 가능성에 무게를 두고 있다.

ESRC 관계자는 “현재 많은 사용자들이 스마트폰을 이용해 이메일을 열람하고 있기 때문에 모바일 보안위협 노출의 가능성은 항상 열려있다. 이번 공격은 안드로이드 기반 단말기를 대상으로 했다”며 “먼저 실제 공격에 사용된 이메일을 살펴보면, 마치 암호화폐 거래소 회원들 대상 계정보호용 안드로이드 앱(APK) 설치유도 문구로 현혹한다. 또 육안상 공식 이메일 계정에서 발송된 것처럼 보낸이 정보가 교묘하게 조작되어 있다”고 설명했다.

악성앱

이어 “한국 포털사에서 제공하는 이메일 대용량 클라우드 다운로드 아이콘과 실제 거래소 이미지 등을 적절히 결합해 나름 진짜처럼 보이도록 디자인에 신경썼지만, 일부 띄어쓰기 등이 다소 부자연스런 부분이 존재한다”며 “23일 오후 여러 사람들에게 해당 이메일이 발송된 것으로 보이고, 이에 따라 해당 비트코인 거래소의 공식 인터넷 카페에도 사칭 이메일 주의 공지사항이 등록되었다. ESRC는 이번 공격에 사용된 위협흐름을 파악하는데 주력했고 공격자가 해외거점에 구축한 1단계 명령제어 서버 구축 정황을 포착했다”고 덧붙였다.

분석 내용에 따르면, 당시 웹 서버의 디렉토리 리스팅이 가능해 공격자가 만든 폴더들이 그대로 오픈되어 있었으며 스피어 피싱 위협 미끼로 활용된 비트코인 거래소명 외에 한국의 대표 포털사이름의 경로도 추가 발견되었다.

또 각각의 폴더 하위에는 안드로이드 악성앱을 감염시키기 위해 만들어진 피싱사이트와 추가 악성앱(APK)이 존재한다. 그리고 해당 악성앱은 2단계 C2 서버로 감염된 스마트폰 단말기 정보를 수집해 은밀히 탈취기능을 수행한다.

더불어 포털사 앱처럼 사칭한 경우에는 컴퓨터와 모바일 웹 브라우저 환경을 체크해 컴퓨터로 접근할 경우 '모바일 환경에서만 설치가 가능하다.'는 메시지 창을 출력해 스마트 기기에서 접근하도록 유도한다.

이번 악성앱은 동일한 패키지명을 사용하고 있으며 서명시작은 포털사 사칭앱이 8월 17일, 거래소 사칭앱이 22일로 조사됐다.

발행자의 경우 거래소 사칭앱이 'John'이고, 나머지는 'Jhon'으로 알파벳 위치만 일부 다르다. 공격자는 'John' 계정을 선호했던 것으로 보이고 초반에는 오타였을 것으로 ESRC 는 추정하고 있다.

악성앱은 우선 처음 설치되어 실행된 이후에는 아이콘을 숨겨 실행여부를 파악하기 힘들지만, 단말기 백그라운드에서 보이지 않게 악의적 행위를 지속적으로 수행한다. 앱 메인 로고에는 '정보보호관리체계인증(ISMS)' 표시까지 있다.

악성앱의 주요 스파이 행위는 △스마트기기내 연락처 탈취 △음성 녹취 및 실행앱 정보 수집 △문자메시지(SMS) 탈취 △클립보드 내용, 키로깅 정보 수집 △각종 앱 및 디바이스 정보 수집 △앱설치/제거 등 다양한 C2 명령 수행 등이다.

악성앱을 설치한 피해자는 OTP 인증 문서나 사생활 정보가 무단 노출될 위험성이 높고 단말기 주소록에 저장되어 있는 연락처가 탈취되어 또 다른 2차 공격이나 주변인 정보가 공격자에게 악용될 소지가 있다. 특히 음성녹취 시도는 매우 민감한 사생활 정보 중 하나로, 도청 피해로 이어질 수 있어 매우 높은 위협요소로 분류할 수 있다.

이외에도 단말기의 각종 정보와 추가 악성행위를 수행하게 된다. 이렇게 획득된 정보는 텍스트 파일로 저장되어 명령제어 서버로 전송된다. 더불어 해커의 원격명령과 의도에 따라 또 다른 위협이 추가될 가능성도 존재한다.

2019년 상반기에도 동일한 패키지명과 유사한 서명 발행자 계정이 포함된 변종들이 다수 식별된바 있다. 이때는 한국의 카카오톡을 위장한 사례와 앱 이름이 없는 경우도 발견되었다.

ESRC는 “국내외 많은 위협 인텔리전스 분석가들은 수년 전부터 '코니(Konni)' APT 공격그룹에 대한 분석과 연구를 수행하고 있다. 특히 이들이 최근 들어 모바일 안드로이드 기반 위협활동을 증대하고 있다는 점에 각별한 주의가 필요하다”며 “물론 이들 조직뿐만 아니라 '라자루스(Lazarus)', '금성121(Geumseong121)' 등도 모바일 공격에 가담하고 있다.

특히 이번 사례에서 '코니(Konni)'와 '김수키(Kimsuky)' 조직의 연계 가능성이 한단계 더 높아졌다는 점에 주목하고 지속적인 연관관계 관찰을 해 나갈 것”이라고 밝혔다.

이어 “컴퓨터 뿐만 아니라 스마트 디바이스 보안강화를 위해 신뢰하기 어려운 앱을 설치하거나 URL 링크를 함부로 클릭하지 않도록 하며 모바일 보안제품도 생활화해야 한다”고 강조했다.

★정보보안 대표 미디어 데일리시큐!★