대북단체를 공격하던 해킹그룹이 최근 안드로이드 기반의 스마트폰을 공격 대상으로 삼은 것으로 파악됐다.
이스트소프트의 보안 자회사 이스트시큐리티에 따르면 대북단체 및 국방 분야를 주로 공격해온 APT(지능형지속위협) 공격 그룹 ‘금성(Geumseong)121’이 이달 들어 안드로이드 기반의 모바일 기기를 대상으로 스피어 피싱(Spear Phishing·특정 타깃을 노린 맞춤형 공격)을 감행한 정황이 발견됐다.
이스트시큐리티 시큐리티대응센터 분석 결과 공격자는 국내 가상화폐 거래소 회원에게 네이버에 개인정보 위협이 발생한 것처럼 가짜 안내 메일을 발송하고, ‘네이버 백신 앱’으로 위장한 악성 설치파일(APK)을 실행하도록 유도한다.
해당 앱을 설치하면 ‘네이버 디펜더’라는 앱이 개인정보 무단 수집 등 각종 악성 행위를 수행하게 된다.
이번 공격을 감행한 금성121은 스카크러프트(카스퍼스키랩), 레드 아이즈(안랩), APT37(파이어아이), 그룹123(탈로스) 등 다양한 이름으로 불리며, 최신 보안 취약점을 이용해 국내 대북단체와 국방 분야 관계자들을 공격해왔다.
특히 국내 업무 환경에 특화된 HWP(한글) 문서 파일 취약점을 자주 사용하는 것으로 알려졌다. 지난해에는 카카오톡 PC버전을 통해 악성코드를 전파했고, 포털업체 비밀번호를 요구하는 피싱 공격도 수행한 것으로 확인됐다.
센터 측은 두 공격 모두 동일한 악성 도메인으로 연결되는 공통점이 있으며, 공격 흔적에서 북한식 언어 표현도 일부 발견됐다고 밝혔다.
연합뉴스
해킹 그룹 ‘금성121’이 2017년 사용한 계정 피싱(좌측)과 2018년 사용한 스피어 피싱. /사진제공=이스트시큐리티
