출처: 블록미디어
김수키는 한국의 주요 포털 사이트를 위장한 피싱 공격과 정상 프로그램으로 위장한 앱으로 공격하는 APT (Advanced Persistent Threat, 지능형 지속 공격) 북한 해킹 조직이다. 과거 한컴 뷰어를 위장한 악성 앱(Fast Viewer)을 만든 이력도 있다. 2023년 11월 말에는 미국 재무부 외교자산통제국(OFAC)에 의해 제재를 받았다.
S2W가 이번에 발견한 악성코드는 Go 언어 기반의 정보 탈취형 악성코드인 인포스틸러(Info-Stealer)로 국내 소프트웨어 기업 에스지에이솔루션즈(SGA Solutions)의 보안 프로그램 설치파일로 위장해 실행된다. S2W는 이번 악성코드 파일에 포함된 문자열을 따서 ‘트롤스틸러(Troll Stealer)’로 명명했다.
트롤스틸러는 ▲사용자의 시스템 정보, IP주소, 위치정보 ▲웹브라우저에 저장된 사용자의 접속사이트, 아이디, 비밀번호 ▲사용자의 PC에 설치된 각종 프로그램의 목록과 파일 다운로드, 전송 기록 ▲PC에 기록된 각종 주요 정보(스티커 메모, 메모장 기록, 금융 서류, 암호화폐 관련 데이터) 등을 탈취할 수 있다.
트롤스틸러가 국내 공공기관, 특히 행정전자서명이 필요한 기관을 표적으로 삼고 있을 가능성이 있다.
트롤스틸러는 피해 사용자의 PC 내에서 ‘GPKI’ 디렉터리에서 파일을 탈취한다. GPK(행정전자서명인증서)는 한국의 행정 및 공공기관 등의 정부에서 사용하는 행정전자서명용 공인인증서다.S2W 위협인텔리전스센터의 김재기 센터장은 “트롤 스틸러는 국내 보안 프로그램을 위장하고 있으며 분석 결과, 우리 정부만 사용하는 인증서를 탈취 대상에 포함하고, 김수키 그룹 간의 연관성이 파악되었다”라며 “공무원들이 사용하는 PC를 장악하여 정보 탈취를 하고자 하는 목적형 인포스틸러 공격에 대해서 공공기관의 철저한 대비가 좀 더 필요하다”라고 덧붙였다.
S2W는 지난 2018년 한국 카이스트 네트워크 보안 전문 연구진이 주축으로 설립된 데이터 인텔리전스 기업이다. 다크웹, 암호화폐 자체 분석 기술을 보유했으며, 인터폴(INTERPOL)의 공식 파트너사다.