북한과 연계된 해커그룹이 신규 기법을 활용해 가상자산을 탈취하고 있는 정황이 포착됐다.
구글위협정보그룹(GTIG)은 17일 북한과 연계된 해커그룹 UNC5324가 ‘이더하이딩’을 활용해 암호화폐 탈취 및 민감정보 수집을 수행하고 있다는 조사 결과를 발표했다.
이번 조사는 퍼블릭·탈중앙화 블록체인을 활용해 악성코드를 은폐하는 이더하이딩 기법이 국가 지원 위협 행위자에 의해 악용된 정황을 최초로 관찰한 사례다.
UNC5342는 팔로알토 네트웍스에 의해 ‘컨테이저스 인터뷰’로 명명한 소셜 엔지니어링 기반 공격 캠페인을 통해 개발자들이 악성코드를 설치하도록 유도했다.
이러한 방식으로 이들은 주로 암호화폐 및 기술 분야 개발자들에게 가짜 채용 제안이나 기술 과제를 미끼로 접근해 악성 파일을 내려받도록 유도했다.
공격은 다단계 감염 절차를 통해 이뤄졌다. UNC5342는 윈도(Windows)와 맥OS(macOS), 리눅스(Linux) 등 다양한 운영체제에 영향을 미쳐 피해자의 시스템을 침해한 것으로 나타났다. 초기 침투에 성공하면 ‘제이드스노우’라는 악성코드를 통해 추가 공격을 감행했다.
공격자는 공격에 사용한 악성코드를 변경 불가한 블록체인에 저장하고, 이를 ‘읽기 전용’으로 불러와 익명으로 명령을 지속 제어했으며 필요에 따라 페이로드(payload)를 유연하게 변경할 수 있었다.
이어하이딩 기법은 블록체인 네트워크 자체를 인프라로 활용하기 때문에 기존의 추적 및 차단 방식으로는 대응이 어렵다. 공격자의 지휘·통제(C2) 서버를 제거하더라도 악성 행위가 계속 작동할 수 있기 때문이다.
로버트 월레스 구글 클라우드 맨디언트 컨설팅 리더는 “이러한 공격 기술의 발전은 위협 환경이 격화되고 있다는 사실을 보여준다”며 “국가 지원 위협 그룹은 수사당국의 조치에 맞서 새로운 작전에 맞게 손쉽게 변형할 수 있는 악성코드를 배포하는 데 신기술을 활용하고 있다”고 말했다.
이어 “UNC5342가 이더하이딩 기법으로, 공격활동을 차단하거나 중단시키려는 모든 시도를 무력화하고 공격을 지속적으로 유지할 수 있는 방안을 확보했다는 걸 시사한다는 점에서 이번 조사 결과가 의미가 있다”고 덧붙였다.