북한 연계 해킹 조직이 중국 내 조선족 거주 지역을 겨냥해 인기 모바일 게임 앱에 악성코드를 심는 공급망 공격을 감행하고 탈북민들의 정보를 수집해온 것으로 드러났습니다.
글로벌 사이버 보안업체 이셋(ESET)은 5일 발표한 보고서에서 북한 연계 해킹 조직 APT37(스카크루프트·리퍼)이 중국 지린성 옌벤 조선족자치주를 겨냥한 게임 플랫폼에 침투해 윈도우와 안드로이드 버전 게임에 '버드콜(BirdCall)'이라는 백도어 악성코드를 심었다고 밝혔습니다.
옌벤 조선족자치주는 북한과 국경을 맞대고 있으며 탈북민들의 주요 경유지로 한국계 중국인, 즉 조선족 인구가 많아 '제3의 한국'이라고도 불리는 지역입니다.
ESET에 따르면 피해자들은 웹 브라우저를 통해 '스크게임(Sqgame)'이라는 업체의 게임 앱을 내려받아 설치했으며, 악성코드는 초기 파일이 아닌 이후 배포된 업데이트를 통해 심어졌고, 최초 침투 시점은 최소 2024년 11월로 추정됩니다.
ESET은 안드로이드 버드콜 악성코드가 연락처, 문자메시지, 통화 기록, 문서, 미디어 파일, 개인 키 등을 탈취하고 스크린샷 촬영과 주변 음성 녹음 기능도 갖추고 있다고 지적했습니다.
이어 이 악성코드가 수개월에 걸쳐 개발됐으며, 최소 7개 버전이 배포됐다고 밝혔습니다.
윈도우 버전 버드콜 악성코드 역시 스크린샷 촬영, 키 입력 기록, 파일 탈취, 명령 실행 등 광범위한 스파이 기능을 갖추고 있는 것으로 나타났습니다.
ESET은 이번 공격의 주요 표적이 옌벤 지역 조선족이며, 특히 북한 정권이 관심을 갖는 인물들, 즉 탈북민들의 정보를 수집하려는 것이 목적이라고 분석했습니다.
APT37은 2012년부터 활동을 시작한 북한 국가보안성 산하 해킹 조직으로 추정되며, 한국 정부·군사 기관과 탈북민, 아시아 각국을 주요 표적으로 삼아온 것으로 알려져 있습니다.
특히 지난해에는 또 다른 안드로이드 스파이웨어를 구글 플레이 스토어에 유포한 것으로 드러난 바 있으며, 2024년에는 한국의 학술 전문가와 북한 전문 언론을 표적으로 삼은 것으로 알려졌습니다.
ESET은 지난해 12월 스크게임 측에 관련 사실을 통보했으나 답변을 받지 못했으며, 현재는 악성 업데이트가 더 이상 배포되지 않고 있다고 밝혔습니다.
VOA 뉴스