[보안뉴스 강현주 기자] 북한 연계 위협 그룹 UNC5342가 ‘이더하이딩’(EtherHiding)으로 불리는 신규 공격 기법을 활용해 암호화폐 탈취 및 민감 정보 수집을 수행하고 있는 정황이 발견됐다.
17일 구글 위협 인텔리전스 그룹(GTIG)은 이 같은 내용을 담은 조사 결과를 발표했다.

▲UNC5342의 ‘이더하이딩’ 기법 [자료: 구글 클라우드]
이더하이딩은 퍼블릭·탈중앙화 블록체인를 활용해 악성코드 명령을 은폐하는 기법이다. 이번 조사는 이 기법이 국가 배후 공격자에 의해 악용된 정황을 최초로 관찰한 사례다.
조사 결과 UNC5342는 팔로알토 네트웍스가 ‘컨테이저스 인터뷰(Contagious Interview)’로 명명한 소셜 엔지니어링 공격을 통해 개발자들이 악성코드를 설치하도록 유도하는 게 포착됐다.
다단계 악성코드 감염 절차를 통해 윈도우, 맥OS, 리눅스 등 다양한 운영체제에 영향을 미쳐 피해자의 시스템을 침해했다. 공격자는 공격에 사용한 악성코드를 변경 불가한 블록체인에 저장하고, 이를 ‘읽기 전용’으로 불러와 익명으로 명령을 지속 제어했다. 필요에 따라 페이로드(payload)를 유연하게 변경할 수 있었다.
이번 공격은 UNC5342가 이더하이딩을 통해 공격을 차단 및 중단 시도들을 무력화하고 공격 유지 방안을 확보했다는 점을 시사한다.
로버트 월레스(Robert Wallace) 구글 클라우드 맨디언트 컨설팅 리더는 “이러한 공격 기술의 발전은 위협 환경이 격화되고 있다는 사실을 보여준다”며 “국가 지원 위협 그룹은 수사당국의 조치에 맞서, 새로운 작전에 맞게 손쉽게 변형할 수 있는 악성코드를 배포하는 데 신기술을 활용하고 있다”고 말했다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>