새로 등장한 北해킹조직 `문스톤 슬릿`, 맞춤형 랜섬웨어로 치밀 공격

실시간
뉴스

보안

새로 등장한 北해킹조직 '문스톤 슬릿', 맞춤형 랜섬웨어로 치밀 공격

디지털데일리 발행일 2024-06-01 16:03:32

김보민 기자

URL복사

[디지털데일리 김보민기자] 가짜 온라인 게임으로 악성코드를 배포하는 북한 해킹조직이 새롭게 등장했다. 이름은 '문스톤 슬릿(Moonstone Sleet)'으로, 트로이목마 방식으로 숨어 접근하는 방식은 여타 조직과 유사했다. 맞춤형 랜섬웨어까지 구현할 수 있어 해킹 대상을 겨냥한 공격이 고도화됐다는 평가도 나온다.

4일 마이크로소프트(MS) 위협 인텔리전스 블로그에 따르면 문스톤 슬릿은 '디탱크워(DeTankWar)'라는 명칭으로 악성 게임을 제작한 뒤, 게임 개발자로 위장해 해킹 대상에 접근했다. 게임에 투자할 사람을 찾거나, 혹은 동료 개발자를 찾는 방식이었다.

문스톤 슬릿은 디탱크워 게임을 소개한다는 취지로 이메일을 보냈는데, 게임 다운로드 링크를 함께 첨부해 보내기도 했다. 정상 게임처럼 위장했지만 악성 요인을 숨겨두는 전형적인 트로이목마 공격 방식이다. 사용자가 이 링크를 실행하면 악성코드가 작동됐다.

현재 '게임'이라는 명목하에 사이버 공격을 가하는 것은 이례적인 일은 아니다. 일례로 안랩에 따르면 국내에서는 파일공유 사이트에 게임 관련 프로그램으로 위장한 악성코드 유포 사례가 활개치고 있다. 공격자는 게임 에뮬레이터(특정 기기에서만 작동하는 게임을 PC에서 가상으로 구현한 프로그램)로 위장해 악성코드를 유포했다. 사용자가 에뮬레이터를 이용하기 위해 다운로드를 받고 설치 실행파일을 누르면 악성코드가 설치되는 방식이었다.

문스톤 슬릿도 유사한 방법을 택한 셈이다. MS 측은 "다른 북한 위협 행위자가 사용하는 기술과 공격 방법론을 모두 조합한 조직"이라고 설명했다.

랜섬웨어 측면에서는 사용자에 맞춘 변종을 활용하고 있는 것으로 확인됐다. MS는 "새로운 맞춤형 랜섬웨어를 제공하는 것으로 관찰됐다"고 말했다. 일례로 '페이크페니(FakePenny)'라는 변종을 유포했는데, 여기에는 로더(loader)와 암호화기가 포함돼 있었다. 로더는 컴퓨터 내에 정보 탈취 및 변경이 가능하도록 한 일종의 소프트웨어로, 북한 해킹조직이 주로 사용한다. MS는 "북한 위협 행위자가 이전에 맞춤형 랜섬웨어를 개발한 적은 있지만, (이 조직이) 랜섬웨어를 배포한 사실을 관찰한 것은 처음"이라고 부연했다.

MS에 따르면 문스톤 슬릿은 금전적 이익을 위해 랜섬웨어를 배포했다. 정보 수집을 통해 수익을 창출하고, 이후 다시 사이버 작전을 수행하는 방식이다.

한편 문스톤 슬릿은 게임뿐만 아니라 인공지능(AI)과 블록체인 등 다른 소프트웨어 및 정보기술(IT) 서비스 기업을 사칭하기도 한다. 일례로 올해 1월부터 4월까지 '스타클로우 벤처스(StarGlow Ventures)'라는 소프트웨어 개발사로 위장해 향후 프로젝트에 대한 협업과 지원을 제안했다. 해킹 대상에게 보낸 이메일에는 AI나 블록체인 개발에 대한 전문 지식과 함께 맞춤형 도메인과 미디어 계정, 직원 이름 등을 포함해 속였다.

MS는 "문스톤 슬릿의 다양한 전술은 북한이 사이버 공격 측면에서 진화했다는 데 주목할 만하다"고 평가했다. 이어 "북한은 국가 목표를 지원하고 수익을 창출하기 위해 수년 동안 원격 IT 인력을 유지해왔다"며 "문스톤 슬릿의 공격은 재정적 이익뿐만 아니라 원격 IT 작업자를 확대할 수 있다는 점을 보여준다"고 말했다. 끝으로 "랜섬웨어를 추가한 것도 회사가 파괴적인 작전을 수행할 수 있는 역량을 확장하고 있다는 의미"라며 "앞으로도 지속적으로 진화가 이어질 전망"이라고 강조했다.