국내 포털 사용자 인증 위장 사용자 계정 정보 탈취
[데이터넷] 북한이 배후에 있을 것으로 의심 받는 해킹그룹 킴수키가 암호화폐 거래소와 사용자를 대상으로 공급망 공격을 벌이고 있다는 주장이 제기됐다. 이는 대만 보안기업 TeamT5이 지난주 싱가포르에서 열린 블랙햇 아시아 컨퍼런스에서 밝힌 것으로, 킴수키 그룹은 지난해 우리나라 암호화폐 해킹 사건에 관여했으며, 안전하다고 알려진 하드웨어 지갑까지 해킹한 것으로 알려진다. 탈취한 암호화폐는 네덜란드 IP 주소로 송금해 세탁된 것으로 분석됐다.
킴수키는 각각 다른 목표를 향해 별도로 운영되는 두 개의 그룹으로 분리됐으며, TeamT5는 이들은 ‘클라우드 드라곤’, ‘킴드라곤’으로 명명했다.
암호화폐를 노리는 킴수키 그룹은 포털이 사용자 인증을 할 때 PC와 모바일을 교차 인증하는 것을 무력화하기 위해 PC, 안드로이드, iOS 등 다른 환경에서도 동작하는 악성코드를 개발했다.
이들은 다음, 네이버, 구글 등 포털 사이트의 가짜 로그인 팝업을 통해 사용자 계정을 탈취한다. 미끼 파일이나 해킹된 웹 사이트, 윈도우 업데이트 알림 등을 이용해 비밀번호 변경 안내로 위장한 팝업으로 사용자 계정 입력을 유도한다. 서울의 여러 대학 로그인 웹사이트도 공격에 이용됐다.
킴수키 그룹은 모바일을 이용한 공격도 진행하는데, 잠복 에이전트를 이용해 피해자 몰래 SMS 메시지를 만들거나 작성한 문자를 전송하고 파일을 업로드한다. 사용자 몰래 오디오·비디오 촬영이 가능하며, 암호 화폐가 휴대폰에 보관돼 있거나 휴대폰을 통해 로그인할 경우 해킹에 노출될 수 있다.
TeamT5의 인텔리젼스 정보를 국내에 서비스하고 있는 에스에스앤씨의 한은혜 대표는 “오랜 기간 개별 해커그룹의 활동을 추적해 온 데이터베이스를 바탕으로 이들의 움직임을 미리 간파하여 사이버보안에 대처해야할 때”라며 “많은 위협 인텔리젼스 정보 중에서 아시아에 특화된 인텔리젼스 정보를 입수하여 향후 사이버공격에 대응해 나갈 필요가 있다”고 밝혔다.
