침해사고/위협동향

“카톡·페북으로 접근, 몰래 감시하는 스파이웨어 심는다”

최민지
[디지털데일리 최민지기자] 25일 맥아피(지사장 송한진)가 카카오톡과 페이스북을 이용해 직접 표적에게 접근하고 스파이웨어를 심는 고도의 표적 공격을 분석한 자료를 공개했다.

맥아피의 모바일 리서치 팀에 따르면 이번 공격은 구글의 단축 인터넷주소(URL)를 활용해 악성 앱 다운로드를 유도했다.

해당 악성 앱은 ‘북한 기도(Pray for North Korea)’와 ‘블러드 어시스턴트(BloodAssistant)’로 확인됐다. 대부분의 클릭이 국내에서 발생했으며, 가장 많이 사용된 브라우저 및 운영체제 조합은 크롬과 윈도며, 안드로이드는 두 번째로 많았다.

현재까지 정확한 배후는 알려져 있지 않지만 클라우드에서 삭제된 폴더 목록에 ‘썬 팀 폴더(sun Team Folder)’라는 이름을 남겼기 때문에 동일한 이름을 사용하는 공격자로 추정되고 있다.

이 조직은 클라우드 스토리지 생성일을 기준으로 2016년부터 활동하고 있는 것으로 예상되고 있다. 한국의 유명 드라마 ‘태양의 후예’ ‘그들이 사는 세상’의 주인공 이름을 클라우드 서비스 연결 계정으로 사용한 점으로 짐작해봤을 때 한국에 대해 잘 알고 있거나 연관이 깊은 조직으로 보인다. 탈북자 및 탈북자를 돕는 단체와 개인 등의 감시 목적을 갖고 있는 것으로 추측되고 있다.

맥아피가 분석한 자료에 따르면 이번 악성 APK 파일들은 피해자의 디바이스에 트로이 목마를 설치한다. 이를 실행하면 디바이스 감염 여부를 확인하며, 감염되지 않은 경우 피해자를 피싱해 접근성 권한을 확보하는 형태로 작동된다.

앱 실행 후 나타나는 팝업 창을 사용자가 클릭하면 앱 권한 확보를 위해 접근성 권한 설정 메뉴로 화면이 변경된다. 이후 동영상 재생 등의 방법으로 화면을 오버레이해 자신들에게 필요한 설정을 활성화하고, 트로이 목마 설치 과정은 숨긴다.

설치된 트로이 목마는 드롭박스와 얀덱스를 제어 서버로 이용해 디바이스 제어를 위한 명령 및 기타 데이터를 포함한 파일을 다운로드한다. 수집된 정보들은 임시 폴더에 저장된 후 클라우드에 업로드 된다.

맥아피는 구글 드라이브에서 애플리케이션 패키지 파일(APK) 변종들도 발견했다. 구글 드라이브에서 발견한 최초 APK들은 현재 악성 코드로 분류됐기 때문에 다운로드할 수 없다. 초기 발견한 악성 APK는 동일한 계정에 의해 구글 드라이브에 업로드됐으며, 맥아피는 이와 연결된 소셜 네트워크 계정을 찾아냈다. 피해자에게 악성 APK 파일을 다운로드하는 단축 URL을 보내는 데 같은 계정이 사용된 것으로 조사됐다.

이 클라우드 서비스 연결 계정에는 한국의 엔터테인먼트 콘텐츠와 관련된 이름이 사용됐고, ‘피형’이라는 단어가 발견됐다. 피형은 북한에서 혈액형을 의미하는 말이다.

악성 코드 유포에 사용된 계정과 연결된 일부 안드로이드 디바이스의 테스트 로그 파일에서 북한 IP 주소도 찾아냈다. 이 IP는 와이파이가 켜져 있을 때 주소인 것으로 확인됐기 때문에 개인 IP 주소일 가능성도 배제할 수 없다.

공격자의 국적이 어디인지 단정할 수는 없지만 한국에 대해 아주 잘 알고 있으며 탈북자 및 탈북자를 돕는 단체와 개인 감시의 목적을 갖고 있을 것이라고 보인다. 맥아피의 모바일 시큐리티는 이번 악성 코드를 ‘Android/HiddenApp.BP’로 탐지해 차단했다.

송한진 맥아피코리아 지사장은 “이번 멀웨어는 종교나 헬스케어 관련 콘텐츠로 위장해 사람들의 경계를 무력화 시키는 형태로 공격이 이뤄진 것으로 분석됐다”며 “항상 모바일 보안 애플리케이션을 최신 버전으로 업데이트하고, 출처가 확인되지 않은 모바일 앱은 절대 설치하면 안된다”고 말했다.

<최민지 기자>cmj@ddaily.co.kr
최민지
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널