북한의 지원을 받는 것으로 의심되는 해커 집단이 지능형지속위협(APT) 공격용 악성 파일을 유포하고 있는 것으로 나타났다. 이번 공격은 한국에서 많이 이용되고 있는 보안프로그램으로 위장하고 있어 더욱 주의가 요구된다.

이스트시큐리티 시큐리티대응센터(ESRC)는 2일 “지난 2018년 10월 31일 제작된 최신 APT 공격용 악성 파일을 다수 발견했다”며 “악성파일들은 한국의 특정 보안제품 아이콘으로 위장하고 있다”고 밝혔다.

해커들은 해당 보안프로그램이 국내 은행, 공공기관 등에서 광범위하게 사용되고 있어 사람들의 의심을 피하기 쉽다는 점을 노린 것으로 보인다.

ESRC는 이번 악성 파일을 배포한 위협그룹은 특정 정부가 지원하는 것으로 분류되어 있다며 지난 2월 HWP 문서파일 취약점을 공격한 ‘김수키(Kimsuky)’ 계열의 위협 그룹과 직간접적으로 연결되어 있어 보인다고 말했다.

‘김수키’ 계열의 악성코드는 북한 해커들이 사용하는 것으로 알려져 있으며, 지난 2016년 북한 관련 공무원과 교수 등 한국의 외교·안보 인사들의 이메일 계정 해킹, 지난 2014년 한국수력원자력(한수원) 해킹과도 연관되어 있다.

ESRC에 따르면 컴퓨터가 악성코드에 감염될 경우 시스템의 주요 정보와 키보드 입력내용, 사용자 계정 등의 민감 자료가 외부로 무단으로 유출되는 것으로 나타났다.

해커들은 악성코드에 감염된 컴퓨터에서 한글(HWP), PDF, 워드(DOC, DOCX), 엑셀(XLS, XLSX), 파워포인트(PPT), 압축파일(ALZ, RAR, ZIP), 이미지파일 (JPG, PNG) 등을 수집하는 것으로 분석됐다.

특히, 이번 악성코드는 안드로이드 애플리케이션 개발 및 서명에 필요한 파일형식인 ‘*.keystore’ 확장자의 파일을 수집하는 것으로 조사돼 향후 해커들이 모바일을 이용한 피싱 공격에 활용할 가능성도 있어 보인다.

문종현 ESRC 이사는 “공격자들이 ‘*.keystore’ 파일을 수집하는 의도는 안드로이드 앱(Apps) 개발자 컴퓨터가 감염이 됐을 때 앱 개발에 사용되는 키파일을 훔쳐가기 위한 것으로 의심된다”며 “공격자들은 훔친 키를 이용해 다른 악성앱을 만들거나 정상 앱처럼 위장해 다른 사용자들을 공격할 가능성도 있다”고 말했다.

안드로이드 앱을 마켓이나 타인에게 배포하기 위해서는 키파일을 생성해 개발된 앱에 서명해야 하며 업데이트를 할 때도 키를 입력해 서명해야 한다. 따라서 키파일이 유출되면 해당 개발자 이름으로 악성 앱이 배포될 수 있으며 앱 업데이트 시 사용자들을 악성코드에 감염시킬 수도 있다.

또한, 악성코드에 감염되면, 수집된 다양한 정보가 한국어로 서비스되는 2개의 웹 사이트로 유출이 시도되는 것으로 조사됐다.

악성코드가 유출되는 사이트는 ‘koreaweek.us’와 ‘directone.co.kr’로 한국인터넷진흥원 인터넷주소자원 검색(후이즈) 서비스에 따르면 ‘koreaweek’은 워싱턴, ‘directone’은 대구에 등록된 사이트다. 해당 사이트들은 해킹 당했을 가능성이 높으며 탈취한 정보를 빼돌리는 중계사이트로 활용되는 것으로 보인다.

문종현 ESRC 이사는 “초기에는 해커들이 직접 호스팅 서비스를 통해 서버를 자체 구축해 탈취한 정보를 수집했고, 서버를 구축하는 과정에서 해커의 신상정보가 일부 노출된 바 있다”며 “(신분 위장을 위해) 지금은 직접 서버를 구축하는 것보다는 국내외의 보안이 취약한 사이트를 해킹해 명령제어서버(C2)로 사용하고 있는 것으로 보인다”고 설명했다.

문 이사는 “수개월 이상 한국의 보안 제품처럼 위장을 하고, 국내외 다양한 웹 사이트를 해킹해 명령제어(C2)서버로 활용하고 있다”며 “예기치 못한 피해를 입지 않도록 적극적인 보안 강화가 요구된다”고 주의를 당부했다.