북한 연계 해킹 조직이 가상화폐와 벤처캐피털, 블록체인 등 금융 분야 종사자들을 겨냥해 애플사의 운영체제인 맥OS 이용자를 표적으로 삼는 정교한 사이버 공격을 잇따라 감행하고 있다고 보안 연구기관들이 밝혔습니다.
악성코드를 분석하는 사이버 보안업체 ‘애니런(Any.Run)’은 21일 보고서를 통해 북한 해커들이 텔레그램을 통해 피해자와 친분이 있는 인물의 계정을 탈취한 뒤 가짜 화상회의 초대장을 보내는 이른바 '클릭픽스(ClickFix)' 기법을 활용해 접근한 것을 포착했다고 밝혔습니다.
'클릭픽스(ClickFix)'는 사용자를 속여 악성 명령어를 스스로 실행하게 만드는 사회공학적 기법의 사이버 공격을 일컫는 것으로, 피해자들은 줌(Zoom), 마이크로소프트 팀즈, 구글 미트를 모방한 가짜 웹사이트로 유도된 뒤 가짜 접속 오류를 '해결'하기 위해 터미널 창에 특정 명령어를 직접 복사해 실행하도록 유인됐습니다.
보고서는 이를 통해 '맥-오 맨(Mach-O Man)'으로 명명된 악성코드가 설치되며 키체인 항목, 브라우저 세션 등 민감한 시스템 정보가 텔레그램을 통해 외부로 유출됐다고 지적했습니다.
북한 해킹 전문가인 구글 클라우드의 제이미 콜리어 수석 위협 정보 고문도 앞서 VOA와의 화상 인터뷰에서 북한 해킹 조직이 ‘클릭픽스’ 기법을 활용하고 있다며 ‘위험 신호’라고 경고한 바 있습니다.
[녹취: 제이미 콜리어 / 구글 클라우드 수석 위협 정보 고문] " We saw the try to effectively get victims, kind of called 'click-fix', where effectively we're seeing them try to execute certain commands on their computers. So often it's in that behavior that they're prompting you to do that's the real telltale sign.”
"우리는 소위 '클릭픽스(click-fix)'라고 불리는 수법을 통해 피해자들을 효과적으로 유인하려는 시도를 목격했습니다. 실제로 북한 해커들이 컴퓨터에서 특정 명령을 실행하도록 유도하는 것을 보고 있는데요. 따라서 그들이 당신에게 요구하는 그러한 행동 방식이야말로 피싱임을 알 수 있는 가장 결정적인 신호입니다."
이런 가운데 마이크로소프트도 최근 공개한 보고서를 통해 '사파이어 슬릿(Sapphire Sleet)'으로 불리는 또 다른 북한 연계 해킹 조직이 애플스크립트를 악용한 공격을 벌였다고 밝혔습니다.
보고서에 따르면 이 조직은 온라인 플랫폼에서 가짜 채용 담당자 프로필을 활용해 피해자에게 접근한 뒤 기술 면접을 제안하는 수법을 사용했으며, 면접 과정에서 피해자들은 화상회의 도구나 소프트웨어 개발 키트 업데이트로 위장한 악성 파일을 설치하도록 유도됐습니다.
해당 파일은 맥OS 스크립트 편집기에서 자동으로 실행되며 여러 단계의 백도어를 설치하고 시스템 정보를 수집했으며, 텔레그램 데이터, 브라우저 정보, 가상화폐 지갑 등 핵심 정보를 탈취한 것으로 나타났습니다.
이번 공격은 북한 해킹 조직이 클릭픽스처럼 피해자의 자발적 행동을 유도하는 수법과 애플스크립트처럼 자동 실행되는 기술적 기법을 동시에 구사하며 공격 방식을 다양화하고 있음을 보여준다는 지적입니다.
미국 정부에 따르면 북한은 이 같은 사이버 공격으로 탈취한 가상화폐를 핵·미사일 개발 자금으로 활용하고 있으며, 지난해에는 단 한 번의 공격으로 15억 달러를 탈취해 역대 최대 가상화폐 해킹 기록을 세운 바 있습니다.
VOA 뉴스