北, 이태원 참사 악용…‘보고서’ 위장해 악성코드 배포

ⓒGettyImagesBank

북한이 지난 10월 벌어진 이태원 참사를 악용해 사이버 공격을 감행한 사실이 확인됐다.

구글 위협분석그룹(TAG)은 8일 공개한 보고서를 통해 지난 10월 말 북한 해킹조직 ‘APT37’이 중앙재난안전대책본부 보고서 양식을 모방해 악성코드를 배포했다고 밝혔다.

해킹조직이 악성코드를 심은 파일 제목은 ‘용산구 이태원 사고 대처상황 - 2022. 10. 31(월) 06:00 현재’로 사고개요와 인명피해, 조치 상황 등이 자세하게 적혀있다.

TAG는 “해당 파일은 서울 이태원에서 일어난 비극적인 사고를 언급하고 있다. 사고에 대한 대중의 광범위한 관심을 미끼로 이용했다”고 비판했다.

이들이 사용한 악성코드는 구체적으로 확인되지 않았지만 TAG는 이들이 과거 ‘블루라이트(Bluelight)’와 ‘돌핀(Dolphin)’ 등 악성코드를 배포한 적이 있다고 설명했다.

미국 보안업체 ‘볼렉시티’에 따르면 블루라이트는 마이크로소프트(MS)의 웹브라우저를 노린 악성코드다. 이 코드가 실행되면 수시로 화면을 캡처하고 웹브라우저에 저장된 암호 데이터베이스를 수집해 해커에게 전송한다.

돌핀은 구글의 클라우드 저장소인 ‘구글 드라이브’를 악용한다. 유럽 보안업체 ‘이셋’에 따르면 돌핀은 해커가 지시한 명령을 구글 드라이브 저장소에서 내려받아 실시하고 해킹된 컴퓨터의 저장장치에서 파일을 훔쳐 구글 드라이브로 내보낸다.

뿐만 아니라 돌핀은 컴퓨터와 연결된 이동식 저장장치(USB), 휴대전화 등도 감시해 영상이나 문서, 이메일 및 인증서 자료를 찾아낼 수 있고 피해자 컴퓨터에 보관된 특정 파일을 삭제할 수도 있다고 한다.

APT37은 최신 보안 취약점을 이용해 국내 대북단체와 국방 분야 관계자들을 공격해온 북한의 해킹 조직이다. 이들은 ‘금성121’, ‘스카크러프트’, ‘레드 아이즈’ 등 다양한 이름으로 불리며 지난 2019년에도 통일부 해명자료로 꾸민 이메일에 악성코드를 심어 배포한 바 있다.

두가온 동아닷컴 기자 gggah@donga.com