지난해 북미관계가 일촉즉발의 상황으로 치달았을 때 트럼프 미국 대통령은 김정은 북한 국무위원장을 ‘리틀 로켓맨’이라고 부르면서 긴장감을 최고조로 높였다. 지난 북미정상회담에서 트럼프 대통령은 엘튼존의 ‘로켓맨’이라는 노래를 언급하면서 이 노래가 담긴 CD를 전해줄 것이라고 밝히기도 했다.
이 ‘로켓맨’이 우리나라의 대북관련 단체 등 특정 조직을 겨냥한 스피어피싱 공격에서 등장했다. 이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 북한이 배후에 있을 것으로 추정되는 APT 공격 그룹 금성121 조직이 최근 ‘로켓’이라는 프로젝트 폴더에서 악성파일 변종 시리즈를 지속적으로 제작하고 있는 것을 발견했다고 24일 밝혔다.
ESRC는 이 공격을 ‘작전명 로켓맨(Operation Rocket Man)’이라고 명명했으며, 우리나라 PC 보안 프로그램처럼 아이콘을 위장해 유포된다고 설명했다. 이 악성코드는 여러 단계를 거쳐 추가 파일을 설치하는데, 닷넷 버전별로 선택적인 명령을 수행한다. 이 악성파일에 ‘Ant.pdb’라는 빌드 데이터를 볼 수 있으며, ‘로켓’이라는 프로젝트 폴더에서 악성파일 변종 시리즈를 지속적으로 제작하고 있다.
위협 인텔리전스 혼란 위해 가짜 증거 남겨
‘로켓맨’ 공격자들은 중국을 기반으로 한 공격그룹인 것처럼 위장하는 것으로 보인다. 대표적인 예로 중국어 영문식 표기로 어린아이를 의미하는 단어인 ‘Haizi’라는 표현을 사용한 것을 들 수 있다. 그러나 추후 설치되는 닷넷 기반 악성코드에서 ‘PAPA’라는 문자가 있지만, 아버지를 의미하는 중국어의 영문표기는 ‘BABA’이다. ESRC는 공격자의 모국어가 중국어가 아닐 가능성이 있다고 추측했다.
설치된 악성코드는 IaaS 서비스인 퍼브너브(PubNub) 채널로 명령제어(C2) 통신을 시도하며, ‘LiuJin’이라는 계정을 사용한다. 이 부분 역시 중국근거 요소로 사용할 수 있도록 유도하는 것으로 보인다.
코드 안에는 중국과 연관되는 다양한 기록들이 의도적으로 남겨져 있는데, ESRC에서는 언어적, 지리적 코드를 고의로 노출해 위협 인텔리전스(TI)에 혼선을 유발하기 위한 교란전술 가능성이 높다고 판단하고 있다.
ESRC는 “공격자가 정상적인 IaaS 서비스를 이용해 은밀하고 교묘하게 통신을 수행하고 있으며, 유해 트래픽을 식별하기 어렵게 만들고 있다”고 설명했다.
ESRC는 이 공격을 벌인 조직이 대북 유관단체 등을 대상으로 한 워터링홀 공격 등을 벌여왔으며, 북한관련 뉴스 사이트, 대북관련 웹사이트 등을 해킹했고, 악성 HWP 문서를 활용한 표적공격도 시도했다고 설명했다.
더불어 지난해 하반기부터는 카카오톡 메신저를 활용해 공격 대상자를 선별했으며, 한국 토렌토 웹사이트에 가입해 불법 소프트웨어에 악성코드를 삽입, 유포하면서 불특정 다수를 감염시키기도 했다.
