해킹 그룹 ‘UNC6353’, 우크라이나 아이폰 사용자 노리고 ‘다크소드’ 유포

[보안뉴스 김형근 기자] 러시아 정부와 연계된 것으로 추정되는 해킹 그룹 ‘UNC6353’이 우크라이나 아이폰 사용자들을 겨냥해 ‘다크소드’(Darksword)’라는 고도의 해킹 툴을 유포했다.


구글과 보안업체 아이베리파이(iVerify), 룩아웃(Lookout)은 공동 분석을 통해 우크라이나 웹사이트를 거점으로 한 이번 캠페인의 실체를 밝혀냈다.

다크소드는 아이폰 내 비밀번호, 사진, 메시지, 텔레그램, 브라우저 기록 등 개인 정보를 순식간에 탈취하도록 설계된 해킹 툴이다. 기존 스파이웨어와 달리 장기 잠복 대신, 감염 후 데이터를 훔쳐 즉시 사라지는 ‘치고 빠지기’식의 교묘한 작전 방식을 구사한다. 장치 내 데이터 양에 따라 단 몇 분만에 모든 정보를 빼내 가는 이 방식은 보안 탐지를 피하기 위한 고도의 전략이다.

이 조직은 우크라이나의 국가 기밀과 인물 정보 등 전략적 첩보를 수집하는 동시에, 가상자산 탈취를 통해 공작금을 마련하거나 일반 범죄 조직으로 위장하려는 이중적 목표를 보이고 있다.

이번에 발견된 다크소드는 이달 초 공개된 아이폰 해킹 툴 코루나(Coruna)와 아주 밀접하게 연결된 변종으로 파악됐다.

놀라운 것은 코루나가 원래 미국 국방 계약업체인 L3Harris(Trenchant 부서)에서 서방 정보 동맹 ‘파이브 아이즈’를 위해 개발한 도구라는 사실이다.

전문가들은 서방 정부용으로 개발된 강력한 아이폰 해킹 기술이 러시아와 중국 사이버 범죄자들에게까지 흘러 들어간 상황을 경고하고 있다.

공격자들은 우크라이나 내에서 특정 사이트에 접속하는 사용자들만 교묘히 골라 감염시키는 등 작전 지역을 철저히 관리하는 치밀함을 보였다.

[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>