요약 : 보안 외신 해커뉴스에 의하면 북한의 해킹 단체인 김수키가 악성 크롬 확장 프로그램을 사용해 민감한 정보를 훔쳐오고 있었다고 한다. 이 프로그램의 이름은 트랜슬라텍스트(Translatext)로, 보안 업체 지스케일러(Zscaler)에 의하면 지난 3월부터 트랜슬라텍스트를 동원한 움직임이 탐지돼 왔었다고 한다. 한국의 학술 기관이나 싱크탱크 중에서도 대북 외교와 관련된 곳들을 집중적으로 공략하고 있다고 하며, 이메일 주소, 사용자 이름, 비밀번호, 쿠키, 브라우저 스크린샷 등을 수집한 것으로 분석됐다. 트랜슬라텍스트를 어떻게 피해자가 심도록 유도하는지는 아직까지 명확히 알려지지 않고 있다.


배경 : 김수키는 최소 2012년부터 활동해 온 북한의 APT 조직으로 주로 한국의 각종 단체들을 노려왔다. 북한 정부 기관, 특히 정찰총국과 밀접한 관련이 있는 것으로 알려져 있다. 가짜 이력서를 활용한 침투 기법을 주로 선보이지만, 다른 여러 가지 전략을 활용할 줄 안다.

말말말 : “트랜슬라텍스트는 구글 트랜슬레이트와 비슷한 모양을 가지고 있습니다. 하지만 그 안에 악성 자바스크립트 코드가 하나 들어가 있지요. 각종 데이터를 수집해 어디론가 보내는 기능을 가지고 있는 코드입니다.” -지스케일러-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>