북한과 연계된 해킹조직이 중국 내 조선족을 대상으로 한 카드게임 앱에 악성코드를 심어 탈북자를 추적하는 이른바 '공급망 공격'을 감행한 것으로 밝혀졌습니다. 해당 공격을 발견하고 추적·연구한 사이버 보안업체 ESET(이셋)의 필립 유르차코 선임 악성코드 연구원을 조상진 기자가 인터뷰했습니다.
Your browser doesn’t support HTML5
북한 연계 해킹조직, 중국 연변 카드게임 앱에 악성코드 심어 탈북자 추적
유르차코 연구원은 21일 VOA와의 화상 인터뷰에서 ESET 연구팀이 악성 안드로이드 APK 애플리케이션을 분석한 결과 북한 해킹조직 스카크러프트(ScarCruft)가 사용하는 '버드콜(BirdCall)' 백도어의 안드로이드 버전이 삽입된 카드게임으로 확인됐다고 밝혔습니다.
또 해당 앱은 중국 연변 지역 주민을 대상으로 한 인기 게임 플랫폼 'SQ게임(SQ Game)'에서 유포되고 있었으며, 동일한 백도어가 삽입된 두 번째 게임도 같은 플랫폼에서 발견됐다고 말했습니다. 연변은 전체 인구의 약 50%가 조선족인 지역입니다.
Your browser doesn’t support HTML5
연변 카드 게임 앱에 북한 해킹 조직 악성코드가...?
유르차코 연구원은 이는 단순히 악성 앱이 별도로 유포된 사례가 아니라 공식 배포처 자체가 침해된 공급망 공격이라는 점을 강조했습니다.
특히 ESET의 텔레메트리 분석 결과 2024년 10월 또는 11월 무렵에는 PC용 게임 프로그램에도 스카크러프트가 사용하는 또 다른 백도어 '록랫(RokRAT)'이 포함된 악성 업데이트가 배포된 것이 확인됐다는 것입니다.
이어 PC용 프로그램이 감염된 경우 업데이트가 자동으로 내려받아 실행되는 방식이었기 때문에 사용자 입장에서는 이를 알아차릴 만한 징후가 전혀 없었다고 설명했습니다.
Your browser doesn’t support HTML5
"북한이 탈북자를 추적한다"...연변 조선족 겨냥 이유
유르차코 연구원은 스카크러프트가 연변 조선족을 표적으로 삼은 이유에 대해서는, 북한과 국경을 맞대고 있는 연변이 탈북민과 북한 반체제 인사들의 주요 경유지라는 점을 꼽았습니다. 북한이 탈북민들을 추적하거나, 이들을 돕는 주변 인물들을 통해 관련 정보를 수집하려 했다는 분석입니다.
유르차코 연구원은 스카크러프트가 과거에는 주로 한국의 정부 기관이나 군사 조직, 기업들을 겨냥해 왔지만 이처럼 특정 공동체를 정밀하게 겨냥한 사례는 개인적으로도 처음이라고 밝혔습니다.
다만 다른 보안업체들이 과거에도 탈북민을 대상으로 한 유사 사례를 보고한 적이 있는 만큼 이 조직의 기존 활동 방식과 완전히 다른 것은 아니라고 설명했습니다.
유르차코 연구원은 이번 해킹을 스카크러프트의 행위로 판단한 근거에 대해서는, 버드콜 백도어가 스카크러프트만의 고유한 해킹 도구로 다른 해킹조직이 사용한 사례가 없다는 점을 꼽았습니다.
아울러 ESET가 이를 윈도우 버전으로 처음 발견한 데 이어, 이번에 안드로이드 버전으로 이식된 것이 확인됐으며, PC용 환경에서도 록랫 이후 추가 백도어로 버드콜이 사용된 사실이 확인됐다고 밝혔습니다.
유르차코 연구원은 스카크러프트의 기술 수준이 현재 평균 수준이지만 빠르게 발전하고 있다고 평가했습니다.
Your browser doesn’t support HTML5
"10년 전에는 형편없었지만, 지금은 다르다"...북한 해킹 진화
10년 전에는 상당히 조악한 수준이었지만 지금은 AI와 최신 도구를 활용하려 하고 있고 많은 인력이 투입되고 있으며, 따라서 "실질적인 위협"이라는 경고입니다.
유르차코 연구원은 보안 대응책과 관련해 공급망 공격의 경우 사용자가 스스로 막기 어렵다는 점을 지적하면서, 신뢰할 수 없는 출처의 첨부파일을 열거나 실행하지 않는 것이 기본이라고 강조했습니다.
특히 이번 공격도 수개월, 어쩌면 1년 가까이 지속됐을 가능성이 있다면서 아직 발견되지 않은 유사 사례가 더 있을 수 있는 만큼 각별한 경계가 필요하다고 말했습니다.
VOA 뉴스