감염 장비에서 공격 인프라·피싱 도메인 자격증명까지 확인돼
고성능 개발 환경·암호화 도구 설치...전문 악성코드 제작 정황
드롭박스 통한 데이터 업로드 흔적도...“국가급 OPSEC 실패 사례”

[보안뉴스 여이레 기자] 북한 국가연계 위협조직 소속 개발자의 장비가 루마C2(LummaC2) 인포스틸러에 감염되면서 내부 인프라와 운영 방식이 고스란히 드러나는 사건이 발생했다.


[자료: gettyimagesbank]

루마C2는 일반적으로 이용자 정보를 탈취하는 인포스틸러지만, 이번에는 공격자 측 시스템이 감염돼 역으로 내부 구조와 자격증명이 노출됐다.

4일(현지시간) 사이버 범죄 정보 기업 허드슨락과 위협 인텔리전스 기업 사일런트푸시의 교차 분석 결과 해당 기기는 올해 2월 발생한 바이비트 거래소 해킹(피해액 14억달러)에 이용된 사실이 확인됐다.

특히 감염된 장비에서 발견된 이메일(trevorgreer9312@gmail.com)은 해킹 직전 개설된 bybit-assessment.com 도메인 등록에 쓰였으며 바이비트를 사칭한 피싱 사이트 구축에 활용된 것으로 분석됐다.

포렌식 분석에 따르면 이 장비는 단순 공격자가 아니라 전문 개발 환경을 운영하는 고급 장비였다. 12세대 인텔 코어 Core i7 프로세서와 16GB 램을 탑재했으며 비쥬얼 스튜디오 프로페셔널 2019와 에니그마 프로텍터 등 전문 개발·암호화 도구가 설치돼 있었다.

감염 로그 분석 결과, 아스트릴 VPN을 통해 미국 IP를 경유했으며 브라우저 기본 언어는 중국어, 번역 기록은 한국어였다.

기기에는 해커간 내부 통신·명령제어를 주고받을 수 있도록 슬랙, 텔레그램, 드롭박스 등이 설치돼 있었다. 특히 드롭박스 구조 분석 결과 탈취 정보 업로드 흔적도 다수 발견됐다.

보안 전문가들은 이번 사례를 “국가급 해킹 조직 내 운영보안(OPSEC) 실패의 대표적 사례”라며 “향후 북한의 사이버 작전 방식 분석에 중대한 단서가 될 것”이라고 밝혔다.

북한 해커가 인포스틸러에 감염된 것은 이번이 처음이지만, 내부 자료가 외부로 유출된 사례는 과거에도 존재한다. 올해 8월에는 해커들이 북한 또는 중국 추정 해커의 컴퓨터에서 9GB 분량의 내부 데이터를 유출한 바 있다.

[여이레 기자(gore@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>