북한 해킹그룹 ‘시트린 슬린트’ 구글 제로데이 취약점 악용해 가상화폐 탈취 시도
MS, 시트린 클린트의 크롬 취약점 악용 보고서 발표

[보안뉴스 박은주 기자] 북한 해킹그룹이 가상화폐를 훔치기 위해 구글 브라우저 ‘크롬(Chrome)’의 취약점을 악용했다고 마이크로소프트(MS)가 밝혔다.


MS가 지난 30일 발표한 보고서에 따르면 ‘시트린 슬린트(Citrine Sleent)’라는 북한 해킹그룹이 크롬의 제로데이 취약점을 악용해 기관과 개인 등을 공격했다. 최종 목적은 가상화폐 탈취를 위한 것으로 추정된다.

구글은 8월 19일 시트린 슬린트의 크롬 제로데이 공격 정황을 확인했고, 21일 해당 버그를 패치했다. 다만 얼마나 많은 이용자가 해킹 조직으로부터 공격받았는지 확인할 수 없는 상황이다.

해당 취약점(CVE-2024-7971)은 크롬의 중요 컴포넌트인 V8 자바스크립트 엔진에서 발생하는 타입 혼란 문제로 인해 발생했다. 자바스크립트 코드에서 변수나 객체가 원래 예상된 타입과 다른 타입으로 잘못 해석될 때 오류가 발생하는 것. 취약점 심각도 점수(CVSS) 8.8점에 달하는 치명적인 취약점이다. MS는 해당 취약점을 악용하면 공격자가 원격 코드 실행 공격을 시도할 수 있다고 설명했다.

보고서에 따르면 시트린 슬린트는 금융기관 등 가상화폐를 취급하는 조직과 개인을 표적으로 삼고 있다. 효과적인 공격을 위해 가상화폐 산업과 관련된 개인 및 조직에 대한 정보를 폭넓게 수집하고 있다는 게 MS의 설명이다.

시트린 슬린트는 가상화폐 거래 플랫폼으로 위장해 피해자를 속이고 가짜 구직 신청서 등으로 스피어 피싱 공격을 시도하고 있다. 악성코드가 담긴 가짜 가상화폐 지갑이나 거래 앱을 내려받도록 유인했다.

또한 자체 개발한 트로이 목마형 악성코드 ‘애플제우스(AppleJeus)’를 유포해 피해자 가상화폐 자산을 빼앗는 데 필요한 정보를 수집했다.

현재 시트린 슬리트 조직이 탈취한 가상화폐 규모는 파악되지 않았다. 블록체인 리서치업체인 TRM랩스 보고서에 따르면 지난해 전 세계 가상자산 탈취액의 3분의 1이 북한 해커 소행에 의한 것으로 추정했다,
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>