앱 열기만 해도 털려… 北 연계 해커, SW 공급망 공격

악시오스에 악성 코드 심어

북한 해커 이미지

북한과 연계된 해커들이 널리 쓰이는 오픈소스(개방형) 소프트웨어에 악성 코드를 심어 개인 정보 탈취를 시도한 것으로 알려졌다.

31일(현지 시각) 구글에 따르면 해커들은 소프트웨어 ‘악시오스(Axios)’의 계정을 해킹해 악성 코드가 담긴 업데이트 버전을 배포했다. 악시오스는 서버와 웹·앱 서비스를 연결하는 소프트웨어로, 매주 8000만 번 다운로드될 정도로 인기 있다.

악성 코드는 발견 이후 삭제 전까지 약 3시간 동안 활성화된 상태로 유지됐다. 웹사이트에 로그인하거나 은행 잔고 확인, 휴대전화 앱을 열 때마다 악시오스가 실행된다. 이 때문에 악성 코드를 다운로드한 사람은 컴퓨터 내 저장된 데이터를 탈취당할 가능성이 높다. 특히 개별 서비스가 아니라 그 소프트웨어를 쓰는 하위 기업·기관들까지 연쇄적으로 노릴 수 있는 전형적인 ‘공급망 공격’으로 분류된다. 블룸버그는 “피해 규모와 해킹 목적은 아직 불분명하다”고 했다.

구글은 이번 해킹 사건이 북한의 해킹 그룹인 ‘UNC1069’ 소행으로 추정된다고 밝혔다. 이 조직은 2018년부터 활동해 왔으며 주로 가상 자산·금융 업계를 노리고 있다. 최근에는 AI(인공지능)까지 해킹 공격에 동원하고 있는 것으로 알려졌다.

북한을 비롯해 최근 해킹 조직들의 수법은 점점 더 교묘해지고 있다. 특히 해킹은 AI와 결합하며 강력해지고 있다. 예컨대 실행 중인 악성코드가 탐지를 피하기 위해 능동적으로 대규모 언어 모델(LLM)에 물어보고 행동을 바꾸는 식이다. 지난해 가장 표적이 많이 된 산업군은 빅테크 기업이 포함된 ‘첨단 기술’로 17%를 차지했다.