데이터 인텔리전스 기업 S2W(에스투더블유, 대표 서상덕)의 위협인텔리전스센터 ‘탈론(Talon)’은 북한 배후의 위협그룹 ‘김수키(Kimsuky)’에서 국내 보안프로그램으로 위장한 악성코드를 유포한 것을 발견했다고 지난 7일 밝혔다.
S2W가 이번에 발견한 악성코드는 Go언어 기반의 정보탈취형 악성코드인 인포스틸러(Info-Stealer)로 국내 보안 기업 'S'사의 보안 프로그램 설치파일로 위장해 실행된다. S2W는 이번 악성코드 파일에 포함된 문자열을 따서 ‘트롤스틸러(Troll Stealer)’로 명명했다.
트롤스틸러는 ▲유저의 시스템 정보, IP주소, 위치정보 ▲웹브라우저에 저장된 유저의 접속사이트, 아이디, 비밀번호 ▲유저의 PC에 설치된 각종 프로그램의 목록과 파일 다운로드, 전송 기록 ▲PC에 기록된 각종 주요 정보(스티커 메모, 메모장 기록, 금융 서류, 암호화폐 관련 데이터) 등을 탈취할 수 있다.
특히 Troll Stealer는 피해 유저의 PC 내에서 ‘GPKI’ 디렉토리에서 파일을 탈취하는 것으로 알려졌는데, GPKI란 행정전자서명인증서라고도 불리며 한국의 행정 및 공공기관 등의 정부에서 사용하는 행정전자서명용 공인인증서이다. 이는 트롤스틸러가 국내 공공기관, 특히 행정전자서명이 필요한 기관을 타겟으로 하고 있을 가능성이 있음을 의미한다.
김수키는 한국의 주요 포털 사이트를 위장한 피싱 공격과 정상 프로그램으로 위장한 앱으로 공격하는 악명높은 APT (Advanced Persistent Threat, 지능형 지속 공격) 북한 해킹 조직이다. 이전에 한컴뷰어를 위장한 악성앱(FastViewer)을 만든 이력도 있다. 2023년 11월 말에는 미국 재무부 외교자산통제국(OFAC)에 의해 제재를 받았다.
S2W는 트롤스틸러와 관련해서 분석한 기술 보고서를 자사 블로그에 ‘Kimsuky disguised as a Korean company signed with a valid certificate to distribute Troll Stealer (한국 회사로 위장한 보안 프로그램 설치 파일로 Troll Stealer 악성코드를 배포한 김수키)’ 라는 제목으로 공개했으며 미국의 유명 사이버보안 매체인 해커뉴스(The Hacker News)에서 해당 분석 내용을 취재해 기사로 발행했다.
S2W 위협인텔리전스센터의 김재기 센터장은 "트롤 스틸러는 국내 보안 프로그램을 위장하고 있으며 분석 결과, 우리 정부만 사용하는 인증서를 탈취 대상에 포함하고, 김수키 그룹간의 연관성이 파악되었다."며 "공무원들이 사용하는 PC를 장악하여 정보탈취를 하고자 하는 목적형 인포스틸러 공격에 대해서 공공기관의 철저한 대비가 좀 더 필요하다."고 덧붙였다.