북한 해킹그룹이 가상화폐를 훔치기 위해 구글 브라우저인 크롬의 취약점을 이용했다는 분석이 나왔다.
마이크로소프트(MS)는 8월 30일(현지시간) 낸 보고서에서 ‘시트린 슬리트'(Citrine Sleet)라는 북한 해킹 조직의 사례를 소개했다.
시트린 슬리트는 이달 초 가상화폐 탈취를 목표로 기관 등을 공격하기 위해 크롬의 취약점인 ‘제로데이(zero-day)’를 이용한 것으로 드러났다.
제로데이는 소프트웨어에 존재하는 보안 취약점 중에서 개발자가 인지하지 못한 것을 의미한다. 해커들이 악용하기 전 개발자가 프로그램을 업데이트할 시간이 없다(zero-time)는 데에서 유래했다.
북한 해커들이 이용한 취약점은 크롬의 중요 컴포넌트인 V8 자바스크립트 엔진에서 발생하는 타입 혼란 문제로 파악됐다.
자바스크립트 코드에서 변수나 객체가 원래 예상된 타입과 다른 타입으로 잘못 해석될 때 오류가 발생하는 것.
MS는 “이번 취약점은 취약점 심각도 점수(CVSS) 8.8점에 달하는 치명적인 수준”이라며 “해당 취약점을 악용하면 공격자가 원격 코드 실행 공격을 시도할 수 있다”고 설명했다.
이어 “지난 19일 시트린 슬리트가 이런 활동을 하고 있다는 증거를 처음 발견했다”면서 “이 버그는 구글이 사전에 알지 못한 것으로 파악됐다”고 전했다.
또 “시트린 슬린트는 금융기관 등 가상화폐를 취급하는 조직과 개인을 표적으로 삼고 있다”면서 “효과적인 공격을 위해 가상화폐 산업과 관련된 개인 및 조직에 대한 정보를 폭넓게 수집하고 있다”고 경고했다.
한편, ‘시트린 슬리트’는 북한을 기반으로 활동하는, 금융 기관 등 가상화폐를 관리하는 조직과 개인을 공격하는 해킹 조직이다.
이들은 가상화폐 거래 플랫폼으로 위장해 피해자를 속이고 가짜 구직 신청서 등으로 스피어 피싱 공격을 시도하고 있다. 악성코드가 담긴 가짜 가상화폐 지갑이나 거래 앱을 내려받도록 유인하기도 한다.
나아가 자체 개발한 트로이 목마형 악성코드 ‘애플제우스(AppleJeus)’를 유포해 피해자 가상화폐 자산을 빼앗는 데 필요한 정보를 수집한다.
현재 시트린 슬리트 조직이 탈취한 정확한 가상화폐 규모는 파악되지 않았다.