보안 / 윈도우

윈도우에 연결된 스마트폰 공격하는 악성코드 등장…“북한 소행 추정”

Michael Crider | PCWorld 2022.12.02
일반 소비자는 악성 코드를 막기 위해 기기별로 보안 프로그램을 설치한다. 하지만 요즘처럼 많은 것이 서로 연결되고 동기화되는 시대에 이런 접근 방식은 유효하지 않다. 특히 국가 주도 해킹을 보면 여러 기기에서 데이터가 동시에 유출되는 사례를 살펴볼 수 있다. 최근 보안 업체 에셋(ESET)가 밝혀낸 바에 따르면, 윈도우 PC에 설치된 특정 악성코드가 연결된 스마트폰까지 침투에 정보를 탐색하고 가져가고 있다. 
 
ⓒ Michael Crider/IDG

북한 정부에서 만든 것으로 추정되는 악성코드 ‘돌핀(Dolphin)’은 일종의 스파이웨어로서 주로 한국 및 기타 아시아 정부와 산업체를 공격해 관련 정보를 수집하고 있다. 돌핀은 많이 알려진 파이썬 기반 방법을 활용해 일단 피해자의 컴퓨터를 검색한 다음, 암호 및 기타 보안 자격 증명과 같은 민감한 정보를 해커가 쉽게 가져갈 수 있도록 구글 드라이브에 업로드한다. 또한 비밀번호, 확장 파일, 스크린샷과 관련된 키 입력값도 수집한다. 이러한 정보는 블리핑컴퓨터라는 IT매체를 통해 처음 보도됐다. 

돌핀에서 흥미로운 점은 침투한 하드웨어 범위다. 돌핀은 윈도우 기기에 설치된 후, 윈도우 포터블디바이스 API를 통해 연결된 모든 저장소를 스캔한다. 여기에는 안드로이드, 아이폰 기기 저장소는 물론 USB 드라이브도 포함한다. 이를 통해 스마트폰에는 민감한 정보 및 파일까지 접근할 수 있다. 다만 PC와 다른 저장소와 연결이 끊어지면 데이터 유출이 이뤄지지 않는 것으로 보인다. 

돌핀은 주로 ‘워터링 홀(Watering Hole)’ 공격의 일환으로 쓰이고 있다. 워터링 홀은 정부, 은행 등과 핵심 표적에 연결된 사용자가 자주 방문하는 웹사이트를 미리 감염 시켜놓는 기법이다. 중요한 데이터 또는 시스템에 접근 권한이 있는 특정 사용자 또는 그룹을 공격할 때 워터링 홀이 자주 쓰인다. 사용자는 파일을 다운로드하지 않고도 특정 웹사이트 접속만으로 피해를 입을 수 있다. 돌핀 공격은 PC와 휴대전화 저장소 모두 사이버 공격에 취약하며, 서로 연결될 경우 공격이 확산될 수 있다는 점을 시사한다. 
editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.