[디지털데일리 김보민기자] 북한 배후 위협그룹 김수키(Kimsuky)가 국내 보안 프로그램으로 위장한 악성코드를 유포한 정황이 드러났다.

15일 데이터 인텔리전스 기업 S2W에 따르면 김수키는 고(Go)언어 기반 정보탈취형 악성코드 '인포스틸러'를 국내 소프트웨어 기업 S사의 보안 프로그램 설치파일로 위장했다. S2W는 이러한 방식을 '트롤스틸러(Troll Stealer)'라고 명명했다.

트롤스틸러는 ▲유저 시스템 정보, IP 주소, 위치정보 ▲웹브라우저에 저장된 유저 접속사이트, 아이디(ID), 비밀번호 ▲유저 PC에 설치된 프로그램 목록 및 파일 다운로드, 전송 기록 ▲PC에 기록된 주요 정보(스티커 메모, 메모장, 금융 서류, 암호화폐 데이터) 등을 탈취할 수 있다.

특히 유저 PC 내에서 행정전자서명인증서(GPKI) 디렉토리를 통해 파일을 탈취할 수 있는 것으로 알려졌다. GPKI는 행정 및 공공기관 등 정부에서 사용하는 행정전자서명용 공인인증서다.

김재기 S2W 위협인텔리전스센터 센터장은 "트롤스틸러는 국내 보안 프로그램을 위장하고 있고, 분석 결과 우리 정부만 사용하는 인증서를 탈취 대상에 포함하고 있다"며 "김수키 그룹 간의 연관성이 파악됐다"고 말했다.

이어 "공무원들이 사용하는 PC를 장악해 정보탈취를 하고자 하는 목적형 인포스틸러 공격에 대해 공공기관의 철저한 대비가 필요하다"고 강조했다.

한편 S2W는 트롤스틸러와 관련해서 분석한 기술 보고서를 자사 블로그에 공개했다. 보고서 제목은 '한국 회사로 위장한 보안 프로그램 설치 파일로 트롤스틸러 악성코드를 배포한 김수키(Kimsuky disguised as a Korean company signed with a valid certificate to distribute Troll Stealer)'다.