S2W "북한 배후 김수키, 국내 보안 프로그램 위장해 악성코드 유포"
[디지털데일리 김보민기자] 북한 배후 위협그룹 김수키(Kimsuky)가 국내 보안 프로그램으로 위장한 악성코드를 유포한 정황이 드러났다.
15일 데이터 인텔리전스 기업 S2W에 따르면 김수키는 고(Go)언어 기반 정보탈취형 악성코드 '인포스틸러'를 국내 소프트웨어 기업 S사의 보안 프로그램 설치파일로 위장했다. S2W는 이러한 방식을 '트롤스틸러(Troll Stealer)'라고 명명했다.
트롤스틸러는 ▲유저 시스템 정보, IP 주소, 위치정보 ▲웹브라우저에 저장된 유저 접속사이트, 아이디(ID), 비밀번호 ▲유저 PC에 설치된 프로그램 목록 및 파일 다운로드, 전송 기록 ▲PC에 기록된 주요 정보(스티커 메모, 메모장, 금융 서류, 암호화폐 데이터) 등을 탈취할 수 있다.
특히 유저 PC 내에서 행정전자서명인증서(GPKI) 디렉토리를 통해 파일을 탈취할 수 있는 것으로 알려졌다. GPKI는 행정 및 공공기관 등 정부에서 사용하는 행정전자서명용 공인인증서다.
김재기 S2W 위협인텔리전스센터 센터장은 "트롤스틸러는 국내 보안 프로그램을 위장하고 있고, 분석 결과 우리 정부만 사용하는 인증서를 탈취 대상에 포함하고 있다"며 "김수키 그룹 간의 연관성이 파악됐다"고 말했다.
이어 "공무원들이 사용하는 PC를 장악해 정보탈취를 하고자 하는 목적형 인포스틸러 공격에 대해 공공기관의 철저한 대비가 필요하다"고 강조했다.
한편 S2W는 트롤스틸러와 관련해서 분석한 기술 보고서를 자사 블로그에 공개했다. 보고서 제목은 '한국 회사로 위장한 보안 프로그램 설치 파일로 트롤스틸러 악성코드를 배포한 김수키(Kimsuky disguised as a Korean company signed with a valid certificate to distribute Troll Stealer)'다.
[신년사] 최태원 SK그룹 회장 "본원적 경쟁력 확보 위해 '지난이행' 필요"
2025-01-01 13:29:42방통위 '0인 체제' 재현되나…김태규 직무대행 사직서 제출
2025-01-01 12:51:58[CES 2025] “국내 정치상황 어려워도”…韓 범정부, 445개사 참여 통합한국관 구축
2025-01-01 11:00:00생보·손보, 양대 보험협회장 "대내외 불확실성 확대에 적극 대응…내실경영 강화" 한 목소리
2025-01-01 10:00:56"오징어게임2로 마무리"…올해의 韓 OTT 오리지널은? [콘텐츠뷰]
2024-12-31 17:48:16