구글 "北 해킹조직 UNC5342, 블록체인 악용 신종 공격 포착"

이더하이딩 기법으로 암호화폐 탈취·지속적 침투 시도
팔로알토네트웍스 캠페인 통해 개발자 속여 악성코드 설치유도

ⓒ News1 DB

(서울=뉴스1) 김민석 기자 = 구글 위협 인텔리전스 그룹(GTIG)은 북한 연계 해킹조직 'UNC5342'가 블록체인 기반 신규 공격 기법을 활용해 암호화폐 탈취 및 민감 정보 수집을 시도한 정황을 포착했다고 17일 밝혔다.

GTIG는 보고서를 통해 "UNC5342 조직이 '이더하이딩'(EtherHiding)으로 불리는 신종 악성코드 은폐 기술을 사용해 퍼블릭 블록체인을 명령 통신 경로로 악용한 것을 확인했다"며 "이더하이딩은 기존 중앙 서버 대신 탈중앙화 블록체인을 통해 악성 페이로드를 저장·배포하는 방식으로 명령 전달 경로가 차단되지 않으며 추적이 거의 불가능하다"고 말했다.

이어 "이러한 기술이 국가 지원 사이버 행위자에 의해 활용된 사례를 처음으로 관찰했다"고 설명했다.

Figure 1: UNC5342 EtherHiding on BNB Smart Chain and Ethereum(구글 클라우드 블로그 갈무리)

GTIG 분석에 따르면 UNC5342는 팔로알토 네트웍스(Palo Alto Networks)가 '컨테이저스 인터뷰'(Contagious Interview)라고 이름 붙인 소셜 엔지니어링 기반 캠페인을 통해 개발자들을 속이고 악성코드를 설치하도록 유도했다.

공격은 윈도우, 맥OS, 리눅스 등 다양한 운영체제에서 다단계의 감염 절차를 거쳐 피해자의 시스템을 광범위하게 침해했다.

해커들은 변경 불가한 블록체인에 악성 명령 코드를 저장한 후 이를 읽기 전용으로 호출해 익명 상태에서 지속적인 원격 제어를 수행했다. 필요에 따라 페이로드를 유연하게 교체하며 보안 대응을 무력화했다.

GTIG는 "이번 사례는 UNC5342가 이더하이딩을 통해 차단 시도를 사실상 무력화하고 장기간 공격을 유지할 수 있는 능력을 확보했음을 보여준다"고 평가했다.

로버트 월레스(Robert Wallace) 구글 클라우드 맨디언트 컨설팅 리더는 "국가 지원 해킹 그룹이 수사당국의 대응에 맞서 빠르게 변형할 수 있는 악성코드를 활용하고 있다"며 "사이버 위협 환경이 점점 복잡하고 격화되고 있다"고 했다.

ideaed@news1.kr

<용어설명>

■ 블록체인(blockchain)
블록체인(blockchain)은 분산형 디지털 장부(ledger)로 중앙 서버 없이 네트워크 참여자들이 동시에 거래 내역을 기록·검증하는 기술이다.​ 연결된 각 블록엔 이전 블록의 암호화된 요약 값인 해시(hash)가 포함돼 있어 임의로 변경하는 것이 사실상 불가능하다. 새로운 거래가 발생하면 네트워크상의 여러 참여자(node)가 복잡한 수학적 알고리즘을 통해 해당 거래의 유효성을 검증한다. 블록체인의 핵심은 탈중앙화(decentralization)와 불변성(immutability)이다.

■ 이더하이딩
이더하이딩(EtherHiding)은 악성코드 제작자가 블록체인을 악용해 명령전달(C&C) 인프라를 숨기고 유지하는 신종 사이버 공격 기법이다. 이더하이딩은 이더리움(Ethereum) 블록체인 등 탈중앙화된 퍼블릭 네트워크를 이용해 악성 데이터를 은닉하기 때문에 차단이 거의 불가능하다.