북한 해커조직으로 알려진 레드아이즈(RedEyes) 그룹이 개인용컴퓨터(PC) 마이크 도청 기능을 포함한 악성코드를 배포하는 것으로 확인됐다. 레드아이즈는 APT37, 스카크러프트(ScarCruft), 리퍼(Reaper) 등으로도 알려져 있다. 주로 북한 이탈 주민, 인권 운동가, 대학 교수 등 개인을 대상으로 공격을 수행한다. 이번 공격도 대상을 특정해 진행했다.
안랩 시큐리티대응센터(ASEC)는 레드아이즈 그룹이 에이블리(Ably) 플랫폼을 악용한 고랭(Golang) 백도어를 유포하고 마이크 도청 기능을 포함한 새로운 정보 유출 악성코드를 사용한 정황을 포착했다.
레드아이즈는 암호가 걸린 정상 문서와 ‘CHM’ 악성코드를 함께 압축해 마치 암호 걸린 문서를 열람하기 위해 CHM 파일 실행이 필요한 것처럼 악성코드 실행을 유도했다. 사용자가 CHM 파일을 열면 공격자 커맨드앤콘트롤(C&C) 서버로부터 악성 스크립트가 함께 실행된다. 안랩 ASEC는 이번에 확보한 악성 스크립트가 자동 실행 레지스트리 키를 이용한 지속성 유지와 백도어 기능을 갖는 파워쉘 악성코드라고 확인했다.
레드아이즈는 파워셀 등을 이용해 최종적으로 정보 유출 악성코드를 파일리스 형태로 실행했다. 이 악성코드는 PC 화면 스크린 샷 캡처, 이동식 미디어 장치, 스마트폰 데이터 유출, 키로깅(키보드로 PC에 입력하는 내용을 가로채는 행위), 도청 기능까지 포함됐다. 피해자가 PC로 하는 다양한 작업을 모두 감시하는 것은 물론 도청까지 수행한 것이다.
ASEC은 이번에 확인한 악성코드에 대해 유출 데이터가 저장되는 폴더 이름의 특징을 기반으로 ‘페이드 스틸러(FadeStealer)’로 명명했다. 이러한 공격을 예방하기 위해선 출처가 불분명한 이메일 첨부 파일은 열지 않도록 주의해야 한다. 특히 이메일 첨부 파일 내 파일을 실행할 때 확장자를 유심히 봐야 한다. 확장명 숨기기 체크를 해제하고 첨부 파일이 CHM, LNK일 경우 메일 출처를 반드시 확인한 뒤 실행해야 한다.
ASEC 관계자는 “전체적인 공격 흐름을 보면 스피어 피싱 메일을 통해 공격 대상에 접근하고 Ably 채널을 명령 제어 서버로 사용하는 등 공격자는 교묘하고 치밀하게 공격을 시도한다”면서 “이러한 공격은 개인이 피해를 인지하는 것조차 어려울 수 있다”고 지적했다. 그러면서 “레드아이즈 그룹을 면밀히 추적하고 있으며 추가 피해가 발생하지 않도록 신속하게 대응하고 있다”고 덧붙였다.
조재학 기자 2jh@etnews.com
