MS, ‘Moonstone Sleet’ 그룹 적발, 각국에 주의 요망
개발자들에 가짜 채용 공고, 가짜 프로젝트 제의, 유인
‘기술 평가’ 가장, SW개발자에 악성 ‘npm 패키지’ 호출 ‘.zip’ 전송
[애플경제 김미옥 기자] 주로 IT업체나 SW개발자들에게 새로운 일자리와 프로젝트를 제안하는 신종 해킹 그룹이 극성을 부려 주의가 요망된다. 국내에도 이들이 침투해 들어올 가능성이 큰 만큼 각별한 보안이 필요하다는 주문이다. 최근 마이크로소프트가 발견, 각국에 주의보를 발한 대상은 이른바 ‘Moonstone Sleet’로 이름붙여진 북한발 해커 그룹이다.
이는 특히 이직이 잦은 IT개발자들에게 가짜 채용 공고를 보내거나, 가짜 프로젝트를 제의하며 유인하고 있다. 특히 SW개발자를 표적으로 하거나, IT 기업에 침투할 만큼 최고 수준의 해킹 기술 보유자들로 짐작된다.
이를 처음 발견한 MS에 따르면 이들은 놀라울 정도로 큰 툴킷을 갖추고 있다. 가짜 면접 제의나 탱크전 게임 제작 등 다양한 수법으로 SW개발자 등을 노리고 있다. 이를 추적해온 MS는 “이 그룹은 스파이웨어 활동과 금전적 이득이라는 두 가지 주요 목표를 가지고 있는 것으로 보인다”고 했다. 이들은 개인 SW개발자뿐만 아니라 IT업체, 교육이나 방위산업체 등도 먹잇감으로 삼는다. “이들은 지금껏 보기 힘든 고난도의 광범위한 기술을 보유하고 있다”고 한다.
“놀라울 정도의 해킹 툴킷 보유”
MS는 특히 “이 그룹이 북한의 지원을 받고 있다”고 단언했다. 즉 “처음 발견되었을 때부터 다른 북한 지원 해킹 그룹들의 패턴과 유사한 점이 많았다”며 “그 후 점차 맞춤형 인프라 공격으로 전환해왔다”고 행적을 전했다. 이들은 또 금융이나 사이버 스파이 활동 등 광범위한 작전 계획을 실행하고 있다. 이를 위해 맞춤형 랜섬웨어 배포부터 악성 게임 제작, 가짜 회사 설립, IT 직원 활용까지 수법이 무척 다양하다.
이들은 또 ‘LinkedIn’이나 ‘텔레그램’ 등의 앱은 물론, 개발자 프리랜싱 플랫폼을 통해 오픈 소스 터미널 에뮬레이터인 ‘PuTTY’의 ‘트로이 목마’ 버전을 사용하기도 한다. 악성 ‘npm 패키지’를 사용하는 사례도 관찰되었다. 어떤 경우는 가짜 회사를 사칭하며, 새 일자리를 찾는 SW개발자를 위한 ‘기술 평가’를 가장, 악성 ‘npm 패키지’를 호출하는 ‘.zip’ 파일을 보내기도 했다.
MS는 이미 지난 2월부터 자체 개발한 악성 탱크 게임 ‘DeTankWar’를 사용, 디바이스를 감염시키는 수법을 발견, 예의주시해온 것으로 전해졌다. 또 투자자나 개발자를 구하는 게임 회사나, 합법적인 블록체인 회사로 가장하기도 했다. 특히 이들은 ‘탱크 게임’ 제작을 블록체인 관련 프로젝트로 제시, 유인하기도 한다. 그렇잖아도 작업할 프로젝트를 찾고 있던 SW개발자가 덥석 미끼를 물고 프로젝트를 다운로드하는 경우 문제가 생긴다. 네트워크 및 사용자 검색이나, 브라우저 데이터 수집과 같은 기능의 악성 서비스를 생성하는 맞춤형 악성 코드 로더를 함께 다운로드하게 되는 것이다.
맞춤형 랜섬웨어 변종 살포, 거액 몸값 뜯어내
이들은 일단 표적이 된 디바이스에 침투하는데 성공하면, 좀 더 직접적인 접근 방식으로 깊이 파고들어 자격 증명을 훔쳐낸다. 지난 4월에도 이들은 이미 해킹한 적이 있는 회사를 대상으로 ‘FakePenny’라는 이름의 새로운 맞춤형 랜섬웨어 변종을 살포하기도 했다. 그렇게 침투한 후 요구한 몸값이 비트코인으로 무려 660만 달러였다.
북한 해킹 그룹은 이전에도 맞춤형 랜섬웨어를 개발한 적이 있지만, 실제로 랜섬웨어를 배포하는 모습이 목격된 경우는 이번이 처음이다. 이는 정보 수집과 수익 창출, 두 가지 목표를 위해 공격하고 있음을 의미한다. 올들어 이들은 ‘탱크 게임’뿐만 아니라, 현재 추세를 이루는 블록체인과 AI 관련 프로젝트를 위한 SW개발이나 IT 서비스를 사칭한 가짜 회사를 다수 만들기도 했다.
또 교육이나 SW개발 분야의 수천 개 기업이나 조직을 대상으로 한 이메일 공격도 펼치고 있다. 이를 위해 자체 맞춤형 도메인이나, 유령 직원, 소셜 미디어 계정을 갖춘 SW개발 회사로 위장하곤 했다. 때론 웹 앱, 모바일 앱, 블록체인, AI 개발에 대한 전문성을 언급하며, “프로젝트에 대한 협력”을 제안한 경우도 있다.
해커들, 공격 대상 기업에 위장취업, 해킹도
이들은 또한 여러 기업들의 SW개발직에 취업하는 수법도 쓴다. 그야말로 트로이 목마 전술인 셈이다. 이는 “북한이 외화벌이를 위해 고도로 숙련된 원격 IT 인력을 활용하고 있다는 미법무부의 분석을 뒷받침한다”는 MS의 관측이다. MS는 또 해당 그룹이 방위산업체에 침투, 자격 증명과 지적 재산을 훔친 사례도 발견해냈다. 지난 달에도 이들은 ‘FakePenny’ 수법으로 몸값을 갈취한 바 있다. 또 드론 기술 회사에 침투하거나, 항공기 부품을 만드는 회사와 몸값을 협상하기도 했다.
MS는 “이들은 북한의 사이버공격 기술의 진화를 대표한다는 점에서 주목할 만하다”면서 “북한은 정권을 위한 외화를 벌어들이기 위해, 지난 수 년 동안 원격 IT작업자 그룹을 활용해왔다.”고 밝혔다. 그러면서 “북한의 해커들이 이처럼 SW회사에 대규모로 접근함으로써 향후 해당 업계 전반의 공급망을 특히 위험하게 할 가능성이 크다”고 우려했다.