북한 해킹 단체가 위협 첩보를 얻어내기 위해 위협 첩보를 미끼로 삼는 대담한 전략을 사용하는 것이 발견됐다. 현재 이들의 표적은 보안 전문가들이기 때문에 보안 전문가들의 주의가 요구된다.

[보안뉴스 문정후 기자] 북한의 APT 단체인 스카크러프트(ScarCruft)가 최근 공격의 수위를 높이는 중이다. 보안 전문가 및 보안 기업들을 주로 노리는 것으로 보아 아무래도 위협 첩보와 같은 비공개 정보를 노리는 것으로 보인다. 보안 업체 센티넬원(SentinelOne)이 이를 추적한 후 세상에 알렸다.


센티넬원에 의하면 스카크러프트는 지난 11월과 12월, 여러 매체와 씽크탱크 조직들을 공략하는 데 힘을 집중시켰다고 한다. 특히 북한 문제에 집중하는 경향이 있는 조직들이 주요 표적이었다. 누군가를 사칭하는 전략을 주로 활용했는데, 그다지 고차원적이지는 않았다고 한다. 다만 이 현상이 2024년에도 꾸준히 이어질 것이 거의 분명해 보인다고 센티넬원 측은 경고한다. 다만 2024년에 접어들면서는 보안 업계가 주요 표적이 됐다.

위협 첩보를 미끼로 삼은 사이버 공격
북한 해커들이 사이버 보안 전문가들을 사칭하거나 노리는 건 지난 몇 년 동안 반복되어 왔던 일이다. 하지만 이번에는 감염의 방법과 전략이 조금은 달랐다. 북한 APT 조직인 킴수키(Kimsuky)에 대한 연구 보고서 문건을 미끼로 썼기 때문이다. 게다가 이 보고서 문건 자체는 진짜다. 지난 10월 한국의 보안 업체인 지니언스가 발표한 것이다.

센티넬원의 수석 위협 연구원인 알렉산다르 밀렌코스키(Aleksandar Milenkoski)에 따르면 “자신의 동료와 같은 해킹 그룹을 직접 미끼로 써서 피해자들을 속이는 건 여태까지 한 번도 없었던 일”이라며 “피싱 공격의 새로운 지평을 열었다”고 표현한다. “저희가 알기에 스카크러프트는 물론 다른 북한 해킹 조직들이 다른 회사의 연구 자료를 악용한 사례는 한 번도 없었습니다. 그것도 스카크러프트와 매우 밀접한 관계를 가지고 있다고 알려진 그룹에 대한 진짜 연구 보고서라니, 듣도 보도 못한 전략입니다.”

이렇게 신선한(?) 전략을 들고 나온 이유는 무엇일까? 스카크러프트가 원하는 건 무엇일까? 센티넬원은 “보안 분야의 연구 보고서와 위협 첩보를 스스로 노리는 것으로 보인다”고 추측한다. “그렇게 했을 때 스카크러프트는 어떤 보안 업체가 자신들 혹은 다른 북한 해킹 조직들에 대해 얼마나 알고 있는지 파악할 수 있게 됩니다. 보안 업체들이 뭘 알고 있느냐에 따라 전략을 유연하게 짤 수 있을 겁니다. 그러면 더 효과적으로 방어를 뚫어낼 수 있겠지요. 물론 이것이 목표의 전부는 아니겠습니다.”

그래서 센티넬원은 두 번째 목적이 있을 거라고 추측을 이어간다. “사이버 보안 전문가들이나 전문 업체를 사칭하면 신뢰를 얻기가 좀 더 쉬워질 수 있습니다. 또한 보안 업체들은 많은 기업과 기관들을 고객으로 두고 있기도 하지요. 보안 업체들을 공략함으로써 공격할 대상을 보다 쉽게 확보할 수도 있다는 겁니다. 보안 업계를 발판으로 삼아 공격의 범위를 확대하고자 하는 게 스카크러프트의 궁극적 목표가 아닐까 합니다.”

사이버 보안 전문가라면 경계해야 할 스카크러프트
스카크러프트는 오랜 시간 한국의 개개인과 조직들을 체계적으로 노려왔다. 또한 북한의 다른 해커들과 여러 노하우와 기술을 공유해온 것으로 분석된다. “스카크러프트는 킴수키와 꽤 많은 것을 공유하는 것으로 보입니다. 공격 인프라를 같이 쓸 때도 있고, C&C 서버의 설정도 똑같이 해놓을 때도 많습니다. 이들의 주요 목적은 첩보 수집인데, 특히 북한 정권이 외교적 차원에서 실시하려는 것과 관련이 깊은 정보들을 노립니다.”

정보를 노린다는 건 정보 수집을 원활하게 하는 멀웨어를 어느 순간 사용한다는 뜻이다. 이번에 센티넬원이 공개한 캠페인의 경우 스카크러프트는 로크랫(RokRAT)이라는 백도어를 피해자들에게 퍼트린 것으로 밝혀졌다. 로크랫은 스카크러프트가 직접 개발한 백도어로 보이며, 감시와 정보 탈취와 관련된 기능을 여럿 탑재하고 있다. 센티넬원은 앞으로도 로크랫이 자주 활용될 것으로 예측하고 있다.

한편 센티넬원은 아직 실험 중에 있는 것으로 보이는 멀웨어를 추가로 발견했다고 한다. “여러 셸코드 변종들로 구성되어 있는 멀웨어입니다. 이 셸코드의 기능은 로크랫과 용량이 큰 LNK 파일 두 개를 피해자의 장비에 심는 것입니다. 이 파일의 이름은 inteligence.lnk와 news.lnk입니다. 이 두 LNK 파일을 열면 파워셸 코드를 실행시키며, 이 파워셸 코드는 킴수키 보고서를 추출하면서 동시에 story.txt 파일을 클라우드로부터 가져옵니다. 하지만 이 story.txt 파일을 열면 윈도 메모장이 실행될 뿐입니다. 스카크러프트가 이 부분의 개발을 다 완료하지 못한 모양입니다.”

이처럼 미완성된 멀웨어를 새로운 공격 전략에 접목하여 활용한다는 건 스카크러프트가 뭔가를 위해 공격적으로 실험을 진행하고 있다는 뜻이라고 센티넬원은 해석한다. “이들의 실험성이 매우 공격적인 모습으로 표출되고 있습니다. 원래부터 스카크러프트는 자신들의 무기와 전략을 계속해서 확대시켜 왔던 그룹이라는 걸 생각했을 때 이상한 일이라고 하기는 힘들죠. 이런 그들의 특징이 2024년에도 이어질 것이라고 보고, 따라서 앞으로 북한에 집중하고 있는 보안 전문가들은 상당히 주의해야 합니다.”

3줄 요약
1. 북한의 해킹 그룹 스카크러프트, 동료를 미끼로 삼는 신기한 전략 사용 중.
2. 한국 보안 업체의 연구 보고서로 피해자를 속이고 로크랫이라는 백도어 심고 있음.
3. 진취적으로 실험하는 그룹이라 올해도 이들의 공격적인 실험 정신은 계속 이어질 것으로 예상됨.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>