이스트시큐리티는 대북 단체 및 국방 분야를 대상으로 주로 사이버 침투 활동을 일삼은 지능형지속위협(APT) 공격 그룹 '금성(Geunseong)121'이 최근 안드로이드 모바일 기기 사용자를 대상으로 타깃 공격을 펼치는 정황을 포착했다고 20일 밝혔다.

금성121은 아직 패치가 나오지 않은 최신 소프트웨어 취약점을 이용하는 '제로데이' 공격을 주로 펼친다. 국내 업무 환경에 특화된 한글(HWP) 문서 파일 취약점을 자주 사용하고, 2017년에는 카카오톡 PC 버전을 통해 MS 엑셀(XLS) 파일에 최신 취약점을 삽입해 악성코드를 유포한 바 있다.

금성121의 사이버 공격 흐름도. / 이스트시큐리티 제공
금성121의 사이버 공격 흐름도. / 이스트시큐리티 제공
이스트시큐리티 시큐리티대응센터는 금성121이 3월부터 안드로이드 모바일 기기 사용자를 대상으로 국내 유명 포털을 사칭해 개인정보 도용 위험이 있다는 가짜 안내 메일을 발송한 정황을 포착했다. 공격 그룹은 이후 '네이버 백신 앱'으로 위장한 악성코드를 설치하도록 유도한다.

메일 수신자가 가짜 안내에 속아 첨부된 네이버 백신 앱을 설치할 경우 '네이버 디펜더'라는 이름의 앱이 설치되고, 각종 악성 행위를 수행한다.

이스트시큐리티는 이 악성 앱이 연결을 시도하는 도메인이 앞서 대북 관련 분야에 소속된 국내 특정인을 대상으로 한 HWP 취약점 공격과 같고, 일부 코드에서 북한식 언어 표현 방식을 발견했다고 설명했다.

문종현 이스트시큐리티 시큐리티대응센터 이사는 "과거 타깃 공격이 주로 악성 문서 파일이나 실행 파일 등을 열도록 유도했다면, 이번 공격은 안드로이드 기반 악성 앱을 설치하도록 유도하는 점이 특징이다"라며 "악성 앱에 감염될 경우 주소록, 통화기록, 문자메시지, 계정정보, 통화녹음 등 민감한 정보가 유출될 수 있어 각별한 주의가 요구된다"고 말했다.