이미지 확대보기
독일과 한국 정부 당국은 악성 크롬 확장 프로그램을 통해 G-메일을 훔치는 북한 위협 행위자에 대한 공동 사이버 보안 주의보를 발표했다.
당국은 또한 구글 플레이(Google Play)의 동기화 기능을 악용, 안드로이드 악성 코드를 설치하는 북한 해커를 발표했다.
합동 사이버 보안 권고는 이 소행이 ‘Thallium’ 또는 ‘Velvet Chollima’라고 알려진 북한 해커 ‘Kimsuky’의 행위라고 밝혔다
‘AF’라는 악성 크롬 확장 프로그램은 구글 크롬, 마이크로소프트 엣지(Microsoft Edge) 및 브레이브와 같은 크로미엄(Chromium) 기반 브라우저에서 실행된다.
프로그램 목록에 자동 나타나지 않고 “chrome|edge|brave://extensions” 페이지를 방문한 후에만 나타난다.
악성 크롬 확장 프로그램은 피해자가 감염된 브라우저를 통해 계정을 방문하면 피해자의 G-메일을 활성화하고 추출한다. 그런 다음 보안을 우회하기 위해 ‘DevTools API’를 악용하여 공격자의 서버로 보낸다.
합동 사이버 보안 권고는 사용자 정보를 훔치기 위해 악성 안드로이드 앱을 활용하는 또 다른 범행도 발견했다.
공격자는 이전에 피싱 이메일 및 기타 방법을 통해 악용한 피해자의 구글 계정에 로그인한다. 그런 다음 구글 플레이의 웹-스마트폰 동기화 기능을 악용하여 원격 액세스 트로이 목마(RAT)를 설치했다.
내부 테스트를 위해 악성 앱을 등록한 후 피해자의 스마트폰을 테스트 장치로 제출하고 앱 설치 프로세스를 시작한다.
트로이 목마는 일단 설치되면 해커가 파일과 연락처를 관리 및 도용하고, SMS를 모니터링하고, 전화를 걸고, 카메라에 액세스하고, 바탕 화면을 보고, 키 입력을 기록할 수 있다.
독일 연방하원(BfV)과 국가정보원(NIS)은 사용자에게 이중 인증으로 구글 계정을 보호하고 초기 악용을 방지하기 위해 이메일을 열 때 예방 조치를 취할 것을 권고했다.
◇‘Kimsuky’의 악성 브라우저 확장 프로그램 사용 이력
북한 해킹 그룹이 악성 크롬 확장 프로그램을 사용, 북한 및 한반도와 관련된 주제를 다루는 개인을 표적으로 삼은 것은 이번이 처음이 아니다.
2021년에 사이버 보안회사 ‘Volexity’는 브라우저 프로그램 ‘SHARPEXT’를 활용하는 ‘SharpTongue’로 추적되는 Kimsuky의 유사 범행을 발견했다.
이 범행은 “북한 관련된 주제, 핵 문제, 무기 체계 및 기타 북한의 전략적 관심 사항”에 대해 작업하는 개인을 대상으로 했다.
악성 크롬 확장 프로그램을 활용해 미국, 유럽 및 한국의 고부가가치 대상으로부터 G-메일 및 AOL의 이메일 수천 개를 훔쳤다. 확장 프로그램은 구글 크롬, 마이크로소프트 엣지 및 네이버 웨일 브라우저에서 실행할 수 있다.
하지만, 당국에 따르면 공격 악용 후 단계에서 악성 확장 프로그램을 사용하는 위협 행위자를 관찰한 것은 이번이 처음이었다.
은밀한 악성 크롬 확장 프로그램을 통해 G-메일을 훔치면 위협 행위자의 구글 활동이 가려져 공격을 저지하기 어렵다.
또한, 이 전략은 공격자가 G-메일에 액세스하기 위해 로그인 및 이중 인증을 우회하는 문제를 방지한다. 위협 행위자는 해킹 범행 중에 사용자 이름이나 암호를 훔치지 않았다.
합동 사이버 보안 권고는 스피어 피싱 전술을 사용하여 특정 대상에 대한 스파이 활동을 수행하는 위협 행위자의 지속적인 공격을 경고한다.
결국 위협 행위자는 피싱 이메일을 보내 대상을 속여 크로미엄 브라우저에 악성 확장 프로그램을 설치한다. 이를 통해 위협 행위자는 대상의 G-메일을 훔칠 수 있다.
사용자 G-메일을 손상하는 사이버 위협을 식별하기 위해 개인이나 조직은 보안에 능동적으로 대처해야 한다.
이제 피싱 범행 빈도가 계속 증가함에 따라 받은 이메일을 보호하고 위험을 식별하며 공격에 대응하기 위해 적절한 조치를 취해야 한다. 2단계 인증은 그나마 해킹으로부터 개인의 이메일을 보호하는 장벽 역할을 한다.
박정한 글로벌이코노믹 기자 park@g-enews.com
