北해킹그룹, GO·러스트 등 최신 언어 악성코드 쓴다

오픈소스 활용 비율 늘어, 공격 위험성 증가

(지디넷코리아=남혁우 기자)고(GO)와 러스트 등 최신 프로그래밍 언어를 활용한 북한 해킹그룹의 변종 악성코드 공격 사례가 늘어나고 있다.

안철수연구소보안연구센터(ASEC)는 안다리엘 그룹을 추적한 내역을 블로그를 통해 공개했다.

안다리엘그룹은 북한 해킹 그룹으로 알려진 라자루스의 산하 조직이다. 2008년부터 국방, 정치기구, 조선, 에너지, 통신 등 안보 관련 기관 및 대학이나 운송, ICT 업체 등 주로 한국 기업이나 기관의 정보를 탈취하는 역할을 맡았다.

(이미지=픽사베이)

이들은 초기 침투 단계에서 스피어 피싱, 워터링 홀, 공급망 공격 등을 사용하는 것으로 나타났다.

ASEC는 침투 이후 과정에 주목했다. 악성코드를 설치할 때 상당히 다양한 악성 코드 유형을 활용하는 것으로 확인됐기 때문이다. 특히 올해 들어서는 GO로 개발한 리버스쉘, 고트RAT 등이 사용된 것이 발견됐다. 두리안비콘의 경우 GO와 함께 러스트로 개발된 버전도 탐지됐다.

기존 공격사례를 토대로 악성코드 변종을 조사한 결과, 국내 다수 대학에서 악성코드 변종이 확인됐다. 또한 해당 해킹그룹은 국내 방산업체와 전자장비 제조사를 대상으로도 공격을 시도하기도 했다.

이렇게 공격방식이 확대된 원인은 최근 북한 해킹그룹이 공급망 공격을 위해 npm과 PyPl 등 오픈소스 저장소에 침투하며 본격적으로 오픈소스를 활용하기 시작한 영향이 큰 것으로 분석되고 있다.

ASEC 측은 “안다리엘 그룹은 한국 제조, ICT 기업과 대학을 주요 타깃으로 삼는 위험한 조직으로 그동안 안보와 관련된 정보를 얻기 위한 공격에 집중했지만, 이제는 금전적인 이익을 목적도 공격을 가하고 있다”고 설명했다.

이어서 “사용자는 출처를 알 수 없는 이메일의 첨부 파일이나 웹사이트에서 다운로드한 실행 파일에 특히 주의해야 한다”며 “악성코드 감염을 사전에 예방하기 위해 운영체제와 인터넷 브라우저의 보안 패치를 적용하고 보안 시스템도 항상 최신화해야 한다”고 강조했다.

남혁우 기자(firstblood@zdnet.co.kr)