북한 해커들, 새 해킹 도구 꾸준히 도입
- 기존에 발견되지 않은 도구 세 가지 새롭게 등장
- 하지만 큰 틀에서는 2022년부터 시작된 컨태져스인터뷰 캠페인
- 새 도구 개발, 확보, 활용에 있어 부지런한 모습
북한 해커들이 새로운 도구들을 활용한다는 사실이 포착됐다. 보안 기업 이셋(ESET)이 발표한 것으로, 최근 북한 APT 조직들은 컨태져스인터뷰(Contagious Interview)라는 캠페인을 진행하면서 악도어티(AkdoorTea), 쓰나미킷(TsunamiKit), 트로피도어(Tropidoor)라는 도구를 등장시켰다고 한다. 이 세 가지는 단 한 번도 공식 발표된 적이 없는 해킹 도구들이다.
컨태져스인터뷰는 수년 간 진행되어 온 북한 해커 특유의 악성 캠페인이다. 회사인 척, 혹은 구직자인 척 가장하여 피해자에게 접근해(이 과정에서 가짜 이력서가 오가기도 한다) 면담을 요청함으로써 침투한다. 이번 캠페인도 큰 틀에서는 똑같지만 새로운 멀웨어가 나타났기에 이셋에서는 디셉티브디벨롭먼트(DeceptiveDevelopment)라는 별도의 이름을 붙여 추적하고 있다고 한다.
“디셉티브디벨롬먼트의 주요 표적은 소프트웨어 개발자입니다. 윈도, 리눅스, 맥OS 등 환경을 가리지는 않습니다. 다만 웹3와 암호화폐 관련 분야 개발자들에 집중하려는 경향이 있습니다.” 이셋이 보고서를 통해 밝힌 내용이다. 암호화폐 분야 개발자들을 노리는 것 역시 컨태져서인터뷰 캠페인의 전형적인 특징이다.
공격 시나리오
공격은 다음과 같은 순서로 진행된다.
1) 가짜 채용 담당자가 링크드인, 업워크, 프리랜서, 크립토잡스 같은 플랫폼을 먼저 물색한다.
2) 소프트웨어 개발, 특히 암호화폐 분야의 개발을 담당하는 사람들이 혹할 만한 구인 광고를 올린다.
3) 관심을 보이는 사람이 연락을 해 오면 과제 수행, 비디오 평가, 면담 등을 진행한다.
“프로그래머를 고용하는 것이니 과제를 내주는 건 자연스럽습니다. 과제 내용은 깃허브에 호스팅 된 프로젝트를 복제하는 것인데, 공격자들은 이 과정에 몰래 개입하여 악성코드가 같이 복사될 수 있도록 합니다. 비디오 평가의 경우 특정 웹사이트에 접속하라고 유도하는데, 이 사이트는 ‘카메라나 마이크로의 접근이 차단됐다’는 경고를 띄웁니다. 이를 해결하기 위해 사이트에서 가이드를 제공하는데, 이를 그대로 따라가면 악성코드가 설치됩니다.”
다양한 멀웨어들
여기서 말하는 악성코드는 다양한 백도어 및 정보 탈취 멀웨어다. 여태까지 발견된 것들은 비버테일(BeaverTail), 인비저블퍼렛(InvisibleFerret), 오터쿠키(OtterCookie), 골랭고스트(GolangGhost), 파일랭고스트(PylangGhost), 위즐스토어(WeaselStore) 등이다.
여기에 이셋이 보고서를 통해 세 가지 멀웨어를 더 찾아냈다고 발표한 것이다. “악도어티, 쓰나미킷, 트로피도어 모두 인비저블퍼렛을 통해 피해자 시스템에 설치됩니다. 모두 정보와 암호화폐 탈취를 목적으로 합니다. 쓰나미킷의 경우 쓰나미로더(TsunamiLoader), 쓰나미인젝터(TsunamiInjector), 쓰나미인스톨러(TsunamiInstaller), 쓰나미하드너(TsunamiHardener)라는 요소들로 구성돼 있다. 이는 쓰나미킷 자체만으로도 이미 다단계 공격을 위해 설계됐다는 의미가 된다.
“쓰나미킷의 경우 북한 해커들이 독자적으로 만든 건 아닙니다. 본래부터 다크웹에 존재하던 프로젝트를 가져다가 개조한 것으로 보입니다. 이 쓰나미킷의 원조로 보이는 샘플의 경우 2021년 12월에 등장한 것으로 조사됩니다. 이는 컨태져스인터뷰 캠페인보다도 이른 시점이죠. 컨태져스캠페인은 2022년 말부터 시작됐으니까요.” 이셋의 설명이다.
트로피도어의 경우, 비버테일을 통해 전파되는 것으로 분석됐다. 이전에 발견됐던 라자루스(Lazarus)의 해킹 도구 중 하나인 라이트리스캔(LightlessCan)과 유사하다. 또한 트로피도어와 관련된 파일이 이미 2022년에 케냐, 콜롬비아, 캐나다에서부터 바이러스토탈(VirusTotal)에 업로드되기도 했다. “그 파일들을 분석했더니 2022년 한국 공격 때 활용된 멀웨어인 포스트냅티(PostNapTea)와 비슷한 부분이 상당히 많았습니다.”
포스트냅티는 피해자 시스템에서 여러 파일과 정보를 확보함과 동시에 각종 윈도OS 명령어를 실행하는 기능을 가지고 있다. 라이트리스캔에 있는 은폐 기능 역시 갖추고 있다. 2022년 한국 내 일부 언론사들과 소프트웨어 벤더, 농업 관련 단체들이 포스트냅티를 동원한 공격에 당한 바 있다. 하지만 피해자에 대한 구체적인 정보가 공개되지 않고 있다.
악도어티는 가장 최근에 라자루스가 손에 쥔 무기로 보인다. 일종의 원격 접근 트로이목마(RAT)다. 윈도 배치 스크립트를 통해 집(ZIP) 파일 형태로 피해자 시스템에 심긴다. 파일 이름은 nvidiaRelease.zip으로, 마치 그래픽카드 관련 업데이트로 보인다. 압축을 풀면 VB스크립트가 실행되고, 이 스크립트를 통해 비버테일과 악도어티 페이로드가 설치된다.
악도어티 말고 악도어(Akdoor)라는 멀웨어가 이미 존재한다. 악도어티는 이 악도어와 많은 부분 유사한데, 그렇기 때문에 이름도 비슷하게 지어진 것이라고 이셋은 설명한다. 하지만 악도어와 악도어티는 분명 다른 멀웨어다.
북한의 공격 기술, 갈수록 풍부해져
이번 보고서의 핵심 중 하나는 “북한 해커들이 아주 다양한 멀웨어를 활용하고 있으며, 지금까지도 새 멀웨어가 등장하고 있다”는 것이다. “이제 라자루스는 오픈소스를 도구나 다크웹 프로젝트를 자신들의 필요에 맞게 재구성하는 능력까지 보여주고 있습니다. 과거 악성코드에서 필요한 부분을 따다가 새로운 멀웨어를 탄생시키기도 하고요. 멀웨어 개발과 활용이라는 측면에 있어서 북한 해커들의 발전 속도가 너무나 빠릅니다.”
비교적 짧은 시간 안에 여러 도구를 완성시키고 활용하다보니 매번 성공적이지는 않다. “물론 엉성한 면도 있고, 세밀한 부분에서 라자루스답지 않은 모습이 나타날 때도 있습니다. 하지만 그렇게 멀웨어가 기술적으로 아쉬운 면을 보일 때 북한 해커는 보다 정교한 피싱과 소셜 엔지니어링 공격으로 보강하기도 합니다. 종합적인 해킹 범죄 집단이 되어가고 있다는 겁니다.”
Related Materials
- North Korean Hackers Deploy New Golang Malware 'Durian' in Cyberattacks - The Hacker News, 2024년
- Crypto & Social Engineering: North Korean APTs’ New Tools and Tactics in 2023-2024 - CyberProof, 2025년
- Assessed Cyber Structure and Tooling of North Korean Groups in 2023 - Google Threat Intelligence, 2024년
- April 2025 APT Group Trends: Latest North Korean Cyber Tool Exploitation - AhnLab Security Intelligence Center, 2025년
문가용 기자
문가용 기자
