2019-12-12 14:25 (목)
북한 이탈주민 후원 사칭 모바일 APT 공격 포착…대북 관계자 타깃
상태바
북한 이탈주민 후원 사칭 모바일 APT 공격 포착…대북 관계자 타깃
  • 길민권 기자
  • 승인 2019.11.11 18:33
이 기사를 공유합니다

APT 공격자, 커뮤니티 기반 탈북민 후원 앱 제작해 표적들 감시 및 정보수집
북한 이탈주민 모금운동 사이트로 위장한 화면 이력. 이스트시큐리티 제공.
북한 이탈주민 모금운동 사이트로 위장한 화면 이력. 이스트시큐리티 제공.

북한 사이버공격 조직으로 추정되는 '금성121(Geumseong121)' APT 공격조직이 진행한 은밀한 모바일 APT 공격정황이 포착됐다. 또한 북한 이탈주민 후원 모금 서비스로 위장한 사이트를 개설해 악성앱(APK)을 유포한 사실도 발견됐다.

해당 웹사이트는 워드프레스 기반으로 제작되었고, 도메인은 지난 8월 23일 생성되어 10월 22일 업데이트된 것으로 조사됐다.

이스트시큐리티 시큐리티대응센터(이하 ESRC)에 따르면, 지난 9월 11일부터 표시된 스냅샷을 타임라인으로 확인해 보면 타이틀에 북한 이탈주민 모금운동 사이트로 소개한 것을 알 수 있고, 10월에는 안드로이드 앱 설치 링크(구글 플레이)가 추가된다.

마치 북한 이탈주민 기부관련 웹사이트로 위장해, 주로 탈북민과 대북단체에 다양한 홍보로 앱 설치를 유도하고 있었다.

ESRC는 “이들이 배포한 앱에서 흥미로운 위협 단서를 다수 포착했고, 동일한 공격자가 사용한 악성앱이 'DragonTask' 경로로 정보를 수집했던 점과 보안 메신저로 위장해 공격한 점을 결합해, 이번 오퍼레이션 이름을 '드래곤 메신저(Dragon Messenger)'로 명명했다”고 밝혔다.

이번 북한 이탈주민 모금운동 사이트가 개설된 이후 여러 채널(이메일, SNS)로 관련 앱 안내와 전파가 이뤄졌다. 주로 대북 분야에 종사하는 사람들이 주요 타깃이다.

그리고 북한 분야를 다루는 언론사 웹 사이트에 댓글 등으로 홍보가 이뤄지는데 이때 사용되는 아이디는 '데이비드 김'이고, 해당 사이트의 관리자로 소개하고 있다.

ESRC는 이 사이트를 조사하는 과정에서 북한식 표현이 다수 사용된 점에 주목했다. 물론, 탈북민 관련 사이트라 실제 그런 표현이 존재할 가능성도 충분하다.

이에 해당 사이트에서 배포하는 안드로이드 앱과 동일한 관리자가 운영하는 유튜브 사이트에 대한 정밀 조사를 진행했다.

당시 구글 플레이 공식 마켓에는 2개의 앱이 등록되어 있었으며, 현재는 구글에서 삭제조치된 상태다. 해당 앱은 탈북민들이 생활상 문제를 공유하고 지원을 받을 수 있으며 기부 서비스를 지정할 수 있다고 안내한다.

구글 플레이 공식마켓에 설명된 이미지에는 북한식 표현인 '계정 창조' 버튼이 존재한다. 참고로 한국에서는 보통 '계정 생성'이라고 표현한다. 그리고 화면 캡처할 때 쓴 스마트폰 단말기에는 유심칩이 없이 와이파이로만 접속한 것을 알 수 있다.

지난 10월 23일 해당 사이트에는 코스모스팜 소셜댓글 게시판 서비스가 존재했다. 10월 28일 전후로 게시판이 사라진 상태다.

당시 사용되었던 게시판을 확인해 보면, 여러 사람들이 해당 서비스를 호응하는 식의 댓글과 유튜브 링크가 포함되어 있다.

유튜브에는 한국 스마트폰 화면의 동영상이 올려져 있으며, 해당 앱의 설치부터 사용방법을 안내해 주고 있다. 페이스북은 유튜브랑 동일한 계정으로 활동하고 있으며, 약 330여명 정도의 친구가 등록되어 있다.

페이스북을 통해 다양한 사전준비가 진행된 점을 알 수 있고 친구관계인 이들은 잠재적인 위협대상이 될 수 있다.

유튜브에는 실제 앱 설치부터 사용법을 데모형태의 동영상으로 보여주고 있다. 이 동영상을 상세히 살펴보면 동영상 제작시 '이미경' 이름과 'borisanatoly' 계정으로 로그인하는 것을 볼 수 있다.

그리고 '이미경'이라는 이름은 2019년 9월 20일 14시 10분에 앱 서비스 내부 게시물에 처음으로 글을 올린 인물이다.

웹 사이트의 관리자로 보이는 '데이비드 김' 계정은 해당 게시글에 9월 20일 14시 20분 바로 댓글을 다수 등록하며, 거의 10분 간격으로 글을 주고 받는다.

이외에도 구글 플레이 공식마켓 앱 정보에 '이미경' 내용이 담긴 화면도 그대로 사용되었다는 점 등, 두 개의 계정은 초기부터 밀접하게 연관되어 있는 것으로 알 수 있고 각각의 계정을 하나의 인물이 관리하고 있을 것으로 추정된다.

APT 공격자는 커뮤니티 기반 탈북민 후원 앱을 제작해, 표적 대상자들이 한 곳에 모이게 만드는 고도의 전략전술 시나리오를 계획했다.

이를 통해 자신들이 구축한 특수 공간에 많은 탈북민들이 모이도록 만들고 대화정보를 은밀히 염탐하고 실제 기부 및 광고를 통한 금전적 수익까지 노린 치밀함을 보였다.

ESRC는 '금성121(Geumseong121)' 조직의 이러한 활동이 앞으로 새로운 모바일 위협의 신호탄이 될 것으로 보고 있다.

ESRC에서는 특정 정부의 지원을 받아 활동하는 '금성121(Geumseong121)' APT 조직이 안드로이드 스마트폰 이용자를 겨냥한 위협활동에 주목하고 있다.

ESRC 관계자는 “개인들이 소지한 스마트폰이 좀비화되어 사이버 작전에 악용된다는 점은 절대 간과해선 안될 중요한 위협으로 부상하고 있다”며 “실시간 문자 메시지 탈취부터 전화 주소록, 통화 녹음(도청), 알림창에 나오는 카카오톡 메시지 유출 시도까지 일부 확인되었다. 또한 이름만 들어도 누군지 알 수 있는 유명 인사들이 이번 '드래곤 메신저' APT 공격에 노출되었다”고 설명했다.

안드로이드 스마트폰이 악성앱에 노출될 경우 개인 사생활뿐만 아니라 기관 및 기업 내부에서 진행되는 회의내용, 갤러리에 포함된 사진 등이 실시간으로 유출될 수 있어 위험하다.

ESRC는 “이번 모바일 APT 공격을 추적 분석하는 과정에서 다양한 사람들이 공격을 받아 좀비화된 것을 확인했다. 그러나 대체로 감염여부 자체를 인지하지 못하고 있다. 스마트폰이 오랜 기간 공격자에게 감시당하고 있다는 점에서 각별한 주의가 필요하다”고 경고했다.

★정보보안 대표 미디어 데일리시큐!★