2024-06-25 20:25 (화)
북한 해커그룹, 소셜미디어 통해 각국 보안연구원 타깃 공격...한국도 주의
상태바
북한 해커그룹, 소셜미디어 통해 각국 보안연구원 타깃 공격...한국도 주의
  • 길민권 기자
  • 승인 2023.09.08 14:58
이 기사를 공유합니다

북한 정부 해커가 보안 연구원 표적으로 삼은 사례 지속적으로 발생

구글 위협 분석 그룹(이하 TAG)은 최근 보안 연구원을 노리는 북한 정부의 지원을 받는 APT 해킹 그룹을 발견했다고 밝혔다. 

TAG는 “이 공격자들은 제로데이와 조작된 소프트웨어 도구를 사용해 표적의 컴퓨터를 공격했다. 이 사건은 국가가 후원하는 사이버 스파이 캠페인이 점점 더 정교해지고 대담해지고 있음을 보여준다”고 전했다. 

◆보안 연구원 표적 공격

내용에 따르면, 북한 위협 행위자는 다양한 소셜 미디어 플랫폼을 통해 보안 연구원들과 접촉하기 시작했다. 신뢰와 신용을 쌓기 위해 표적이 된 연구자들과 장기간 토론하고 상호 작용했다. 특히 우려스러운 한 사례에서는 서로 관심 있는 주제에 대해 공동 작업을 시도하는 것처럼 보이는 대화를 수개월 동안 이어가기도 했다.

◆제로데이 익스플로잇

연구자들과 관계가 형성된 후, 위협 행위자들은 적어도 하나의 제로데이 익스플로잇이 포함된 악성 파일을 보냈지만, 영향을 받은 특정 소프트웨어 패키지는 공개되지 않았다. 제로데이 익스플로잇은 소프트웨어 공급업체나 대중에게 알려지지 않은 소프트웨어 애플리케이션의 취약점을 활용하여 공격자에게 상당한 이점을 제공하는 사이버 공격을 의미합니다.

제로데이 익스플로잇은 공격자가 피해자의 시스템에 셸코드를 심을 수 있도록 하는 초기 감염 벡터 역할을 했다. 이 셸코드는 일련의 안티-가상 머신 검사를 실행하고 스크린샷을 포함한 정보를 수집한 다음 공격자가 제어하는 명령 및 제어 도메인으로 전송한 것으로 조사됐다.

구글은 이 익스플로잇에 사용된 셸코드가 이전의 북한 익스플로잇과 일치한다고 밝혔다. 해당 보안 취약점은 소프트웨어 공급업체에 보고되어 패치가 진행 중이지만, 구글은 패치가 제공될 때까지 익스플로잇에 대한 기술적 세부 사항과 분석을 보류하기로 결정했다.

◆조작된 소프트웨어 도구

제로데이 익스플로잇 외에도 북한 APT 그룹은 '리버스 엔지니어를 위해 마이크로소프트, 구글, 모질라, 시트릭스 심볼 서버에서 디버깅 심볼을 다운로드'하도록 설계된 독립 실행형 윈도우 툴을 배포했다. 이 유틸리티의 소스코드는 1년 전 깃허브에 처음 공개되었지만, 여러 차례 업데이트되어 다양한 소스에서 심볼 정보를 다운로드할 수 있는 기능이 포함되었다. 하지만 구글은 이 도구가 사용자의 컴퓨터에서 데이터를 훔치기 위해 변조된 것임을 확인했다. 

손상된 상태의 이 도구는 공격자가 제어하는 도메인에서 임의의 코드를 다운로드하고 실행할 수 있다. 구글은 이 도구를 다운로드하거나 실행했을 가능성이 있는 모든 사용자에게 엄중히 경고하며, 운영 체제를 완전히 재설치하는 등 시스템을 깨끗한 상태로 유지하기 위한 예방 조치를 취할 것을 권장하고 있다.

북한 정부 해커가 보안 연구원을 표적으로 삼은 사례가 문서화된 것은 이번이 처음이 아니다. 2021년 1월, 구글은 북한에 기반을 둔 정부 지원 단체가 유사한 활동을 전개하는 것을 발견했다. 이 캠페인은 악성 웹사이트를 통한 드라이브 바이 브라우저 손상과 소셜 미디어 플랫폼에서의 직접적인 상호작용을 포함했다.

보안 연구원을 표적으로 삼은 북한 APT 공격자들의 사이버 위협은 국가가 후원하는 해킹그룹들이 지속적이고 진화하고 있다는 것을 말한다. 사이버 스파이 전술이 점점 더 정교해짐에 따라 연구자, 조직, 정부는 경계를 늦추지 말고 이러한 악의적인 활동으로부터 민감한 정보와 인프라를 보호하기 위한 사이버 보안 조치에 우선순위를 두어야 한다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★