안랩, 레드아이즈 공격그룹 스파이 프로그램 확인 개인 컴퓨터 속 정보 모두 빼낸다…마이크 녹화 통한 도청까지 가능
송북한 해킹조직으로 추정되는 레드아이즈(RedEyes)가 북한 이탈 주민, 인권 운동가, 대학 교수 등 국내에 거주하고 있는 특정 개인들의 정보 탈취를 위한 스파이 프로그램을 몰래 유포 중인 것으로 드러났다. 특히 이 프로그램에는 사용자 노트북 마이크를 몰래 도청하는 기능까지 포함된 것으로 알려졌다.
◆레드아이즈, 마이크 도청 기능 탑재한 악성코드 유포
19일 안랩에 따르면 지난달 레드아이즈 공격 그룹이 에이블리(Ably) 플랫폼을 악용한 고(Go) 기반 백도어를 유포하고 마이크 도청 기능을 탑재한 새로운 정보 유출형 악성코드를 사용하는 것으로 확인됐다.
레드아이즈의 공격 과정을 살펴보면, 공격자는 암호가 걸린 정상 문서와 비밀번호 파일로 위장한 CHM 악성코드를 함께 첨부한 피싱 메일로 타깃에 접근했다. 즉 공격자는 CHM 파일을 실행해야만 암호화된 문서를 열람할 수 있는 것처럼 위장해 사용자가 악성코드를 스스로 실행하도록 했다.
사용자가 CHM 파일을 클릭하면 암호 정보를 확인할 수 있지만 동시에 공격자 서버로부터 악성 스크립트가 함께 실행된다. 이후 공격자는 ‘고’ 언어 기반의 ‘에이블리’ 플랫폼을 이용하는 백도어 악성코드가 피해자 PC 통제권을 탈취하고, 컴퓨터 안 정보를 유출하거나 또다른 악성코드를 설치한다.
안랩 분석 결과, 레드아이즈가 타깃대상에 설치한 악성코드는 PC 화면을 그대로 복제한 캡쳐 정보나 컴퓨터에 연결된 이동식 미디어 장치·스마트폰 데이터를 빼낼 수 있다. 또한 이용자들이 입력하는 키보드 정보와 컴퓨터 마이크를 이용한 도청 기능까지 가능한 것으로 드러났다. 레드아이즈는 특정 개인이 PC로 수행한 작업을 모두 감시하고 도청했다.
특히 이번 레드아이즈 공격은 에이블리 채널을 명령 제어 서버로 사용하면서, 개인이 피해 사실을 인지하는 것조차 어려울 정도로 교묘한 것으로 평가된다. 특히 공격자들은 30분 간격으로 피해 PC에서 유출한 데이터를 압축한 뒤 공격자 서버에 파일을 전송했고, 이때 압축 파일의 크기가 1GB를 넘을 경우 볼륨을 최대 1GB로 지정해 분할 압축 기능을 통해 데이터를 유출할 정도로 치밀했다고 안랩은 밝혔다.
◆첨부파일 실행 전 확장자 확인해야…‘CHM·LNK’는 의심
안랩 측은 “확장자 옵션은 기본적으로 숨기기 옵션이 부여돼 있어 ‘알려진 파일 형식의 파일 확장명 숨기기’ 체크를 해제하고, 첨부 파일 형태가 CHM, LNK일 경우 메일 출처를 확인한 후 실행해야 한다”고 강조했다.
【서울=뉴시스】