ESET, '스카크러프트' 해킹 수법 공개
[서울=뉴시스] 김지은 기자 = 북한 해커들이 구글의 온라인 파일 저장공간 서비스인 구글드라이브를 악용해 해킹을 해 온 사실이 밝혀졌다. 이들은 새로운 악성코드를 통해 피해자들의 컴퓨터뿐 아니라 휴대폰까지 감시했던 것으로 나타났다.
유럽의 다국적 사이버 보안업체 ESET(이셋)이 지난달 30일(현지시간) 보고서를 통해 북한의 해킹 조직 스카크러프트(ScarCruft)가 새롭게 발견된 악성코드 '돌핀(Dolphin)'을 이용해 간첩 활동을 하고 있다고 공개했다고 자유아시아방송(RFA)이 1일 보도했다.
보고서에 따르면 돌핀은 지난 4월 스카크러프트가 북한 관련 언론인들에 대한 사이버 공격에 사용한 '블루라이트(Bluelight)'라는 백도어 악성코드보다 더 정교하고 강력한 버전이다.
'뒷문'이라는 뜻의 백도어 공격은 주인 몰래 뒷문으로 드나드는 것을 비유한 말로, 허점을 이용해 인증 절차 없이 공격 대상의 시스템에 접근해 가하는 공격이다.
보고서의 저자인 필립 유르차코 연구원은 돌핀이 구글 드라이브를 악용하고 있다는 점에 주목했다.
악성코드 돌핀은 해커가 지시한 명령을 구글 드라이브 저장소에서 내려받아 실시하는 데 이어, 해킹 대상의 컴퓨터 저장장치에서 훔친 파일을 구글 드라이브로 다시 내보내기 때문이다.
돌핀은 또한 컴퓨터 본체에 있는 고정 저장장치뿐 아니라 이동식 저장장치인 USB드라이브와, 컴퓨터와 연결된 휴대용 전화기까지 능동적으로 감시해 영상이나 음악 파일, 문서, 전자 우편 및 인증서 자료를 찾아낼 수 있었다.
유르차코 연구원은 돌핀이 심지어 피해자 컴퓨터에 보관된 특정 파일을 삭제하는 기능도 있다며 주의를 당부했다.
이 밖에도 돌핀은 웹 브라우저 크롬, 엣지, 인터넷 익스플로러에 저장된 아이디와 비밀번호를 훔쳐 도용하거나 30초마다 브라우저의 화면을 캡쳐하는 등 광범위한 간첩 기능을 갖추고 있다고 덧붙였다.
보고서는 해킹의 피해자에 대해 구체적으로 공개하지는 않았지만, 주로 한국과 아시아 국가의 정부 및 군사 조직, 그리고 북한의 이익과 연계된 다양한 사업의 기업들에 관심이 있다고 명시했다.
스카크러프트는 북한 정찰총국이 육성하고 지원하는 해킹 조직으로 APT37, 리퍼(Reaper) 혹은 레드아이즈(Red Eyes)라고도 불린다.
스카크러프트는 2020년 영국 주재 북한대사관 공사 출신인 태영호 국민의힘 의원의 휴대용 전화기를 해킹한 정황이 드러나기도 했다.
☞공감언론 뉴시스 kje1321@newsis.com <저작권자ⓒ 공감언론 뉴시스통신사. 무단전재-재배포 금지.>
저작권자ⓒ 공감언론 뉴시스통신사. 무단전재-재배포 금지