"북한 해커집단, 보안SW 위장한 악성코드 유포…공공기관 타겟"

[이 기사에 나온 스타트업에 대한 보다 다양한 기업정보는 유니콘팩토리 빅데이터 플랫폼 '데이터랩'에서 볼 수 있습니다.]

북한을 배후로 두고 있는 해커 집단인 '김수키(Kimsuky)'가 국산 보안 프로그램으로 위장한 악성코드를 유포한 정황이 확인됐다. 국내 공공기관을 타겟으로 했을 가능성이 높다는 분석이다.

김수키는 한국 주요 포털 사이트를 피싱 공격과 정상 프로그램으로 위장한 앱으로 공격하는 지능형 지속 공격(APT) 북한 해킹 조직이다. 앞서 한컴뷰어를 위장한 악성앱(FastViewer)을 제작한 바 있다.

15일 사이버인텔리전스 전문기업 S2W(에스투더블유)에 따르면 김수키는 고(Go)언어 기반 정보탈취형 악성코드 '인포스틸러'를 국내 보안기업 S의 보안 프로그램 설치 파일로 위장했다.

S2W는 이러한 방식을 '트롤스틸러(Troll Stealer)'라고 명명했다. 트롤스틸러는 △이용자의 시스템 정보, IP 주소, 위치정보 △웹브라우저에 저장된 접속사이트, 아이디(ID), 비밀번호 △PC에 설치된 프로그램 목록 및 파일 다운로드, 전송 기록 등을 탈취할 수 있다.

특히 PC에 기록된 주요 정보(스티커 메모, 메모장, 금융 서류, 암호화폐 데이터)는 물론 PC의 행정전자서명인증서(GPKI) 파일을 탈취할 수 있는 것으로 알려졌다. GPKI는 행정 및 공공기관 등 정부에서 사용하는 행정전자서명용 공인인증서다.

김재기 S2W 위협인텔리전스센터 센터장은 "트롤스틸러는 국내 보안 프로그램을 위장하고 있다. 분석 결과 우리 정부만 사용하는 인증서를 탈취 대상에 포함하고 있다"며 "김수키 그룹 간의 연관성이 파악됐다"고 했다.


그러면서 "공무원들이 사용하는 PC를 장악해 정보 탈취를 하고자 하는 목적형 인포스틸러 공격에 대해 공공기관의 철저한 대비가 필요하다"고 덧붙였다.

[머니투데이 스타트업 미디어 플랫폼 '유니콘팩토리']