최근 카스퍼스키랩의 글로벌 위협 정보 분석팀(GReAT)에서 악명 높은 Lazarus가 관련된 새로운 악성 캠페인 AppleJeus를 발견했다. 공격자는 암호 화폐 거래 트로이목마를 사용하여 아시아 지역의 암호 화폐 거래소 네트워크에 침투했으며, 최종 목표는 암호 화폐 탈취였다. Windows 기반 악성 코드뿐 아니라 macOS 플랫폼을 노리는 버전이 발견된 첫 사례이다.

이번 사례는 카스퍼스키랩이 관측을 시작한 이래 Lazarus가 macOS 사용자를 노리고 악성 코드를 유포한 최초의 사례로, macOS 환경에서 암호 화폐 거래나 관련된 업무를 하는 사용자에게 경종을 울리고 있다.

카스퍼스키랩은 경계가 허술한 회사의 직원이 합법적인 암호 화폐 거래 소프트웨어 개발사로 보이는 웹사이트에서 애플리케이션을 다운로드함으로써 악성 코드가 거래소 인프라에 침투한 것으로 분석하고 있다.

해당 애플리케이션의 코드는 큰 문제가 없어 보이지만 업데이터는 다르다. 합법적인 소프트웨어에서 업데이터는 프로그램의 최신 버전을 다운로드하는 용도로 사용되지만 AppleJeus의 경우에는 업데이터가 설치된 컴퓨터의 기본 정보를 수집한 후에 이를 C&C 서버로 보내는 정찰 모듈의 기능을 한 것이다. 해당 컴퓨터가 공격할 가치가 있다고 판단되면 악성 코드가 소프트웨어 업데이트의 형태로 전송되고, Fallchill이라는 트로이목마가 설치된다. 이 트로이목마는 Lazarus 그룹이 예전에 사용했던 도구로, 연구진이 악성 코드의 배후로 Lazarus 그룹을 지목한 증거가 되기도 했다. Fallchill 트로이목마 설치가 완료되면 공격자는 대상 컴퓨터를 제한 없이 액세스할 수 있는 권한을 갖게 되며 중요한 금융 관련 정보를 훔치거나 악성 도구를 추가로 설치해서 정보를 훔칠 수 있다.

Lazarus가 Windows 버전과 macOS 버전을 모두 개발했다는 점을 생각해보면 상황은 좀 더 심각하다. 일반적으로 macOS는 Windows에 비해 사이버 위협에 안전하다는 인식이 있었다. 두 버전 모두 기능은 동일하다.

공급망 공격처럼 보이지만 자세히 들여다보면 그렇지 않다는 점도 AppleJeus의 특이점이다. 피해자의 컴퓨터에 악성 페이로드를 유포하는 데 사용된 암호 화폐 거래 소프트웨어 업체는 유효한 디지털 인증서로 소프트웨어에 서명을 했으며 합법적으로 보이는 도메인 등록 기록을 보유하고 있었다. 그러나 공개된 정보에 따르면 카스퍼스키랩 연구진은 해당 인증서 정보에 사용된 주소에서 합법적인 기관을 발견하지는 못했다.

카스퍼스키랩코리아의 이창훈 지사장(www.kaspersky.co.kr)은 “2017년 초반 Lazarus에 의한 Monero 채굴 소프트웨어 설치 사례를 통해 Lazarus가 암호 화폐 시장에 점점 더 관심을 보이고 있다는 사실을 알 수 있었습니다. 그 이후로도 일반적인 금융 기관과 함께 암호 화폐 거래소를 노리는 정황이 몇 차례 더 발견된 바 있습니다. Windows 사용자뿐 아니라 macOS 사용자까지 겨냥한 악성 코드를 개발했고 이 악성 코드를 은밀하게 유포하기 위해 가짜 소프트웨어 회사와 제품을 만들어낸 점을 미루어보아 Lazarus는 커다란 금전적 이득을 노리고 있으며 차후에 암호 화폐 공격이 더 많이 발생할 것이라고 판단됩니다. 이번 사례는 macOS 사용자에게 일종의 경고와도 같습니다. 특히 암호 화폐 거래나 관련 작업을 Mac 컴퓨터에서 하는 사람들은 더욱 경각심을 가져야 할 것입니다.”라고 말했다.

고도의 기술력을 보유하고 있으며 북한과 연계된 것으로 알려진 Lazarus는 사이버 스파이 및 사보타주 공격뿐 아니라 금전적인 이득을 목적으로 하는 공격으로도 유명하다. 카스퍼스키랩을 비롯한 다수의 연구진이 이미 Lazarus가 은행과 기타 대형 금융 조직을 노리고 있다고 보고한 바 있다. 

카스퍼스키랩은 Lazarus와 같이 정교한 사이버 공격으로부터 개인 사용자와 기업을 보호하기 위해 다음과 같은 조치를 취할 것을 권고하고 있다.
• 시스템에서 실행되는 애플리케이션을 아무 생각 없이 신뢰하지 않는다. 합법적인 것으로 보이는 웹사이트, 견실해 보이는 회사 프로필이나 디지털 인증서가 있는 경우에도 백도어가 숨겨져 있을 수 있다.
• 이전에 알려지지 않은 위협까지 탐지할 수 있는 악성 행위 탐지 기술을 갖춘 보안 솔루션을 사용한다.
• 기업 보안 팀의 경우 고품질 위협 인텔리전스 보고 서비스를 구독한다. 정교한 위협 공격 그룹의 수법, 기술과 공격 과정에 대한 최신 정보를 빠르게 파악할 수 있다. 
• 중요한 금융 거래를 하는 경우 다중 인증과 하드웨어 지갑을 사용한다. 또한 인터넷 작업이나 이메일 작업을 하지 않는 별도의 컴퓨터에서 이러한 작업을 수행하는 것이 좋다.

보고서 전문은 Securelist.com에서 확인할 수 있다.
　

[출처 : 카스퍼스키(http://kaspersky.co.kr)]