북한 해커, 게임 플랫폼 해킹.. "중국 탈북민 감시"

북한 해커 조직이 중국 내 게임 플랫폼을 악용해 탈북민과 조선족 이용자들을 감시한 정황이 드러났다.

사이버 보안 기업 ESET의 조사 결과, 북한 연계 해킹 조직 ‘스카크루프트(ScarCruft·APT37)’가 중국 연변 지역 이용자들이 사용하는 게임 플랫폼을 해킹해 악성코드를 심은 것으로 확인됐다.

스페인 보안 매체 ‘에스쿠도 디지털(Escudo Digital)에 따르면, 지난 6일(현지시각) 해당 조직이 중국 연변 지역 전통 게임 플랫폼을 공격해 윈도우 및 안드로이드 앱에 백도어 ‘버드콜(BirdCall)’을 삽입했다고 보도했다. 감염된 앱은 연락처, 문자메시지, 통화 기록, 문서, 멀티미디어 파일은 물론 주변 음성 녹음과 스크린샷 촬영까지 가능한 것으로 알려졌다.

공격 대상이 된 플랫폼은 연변 지역 조선족 이용자들을 위한 카드·보드게임 서비스를 제공하는 사이트로, 북한 접경지 특성상 탈북민과 관련 인물들이 다수 거주하는 지역이라는 점에서 정보 수집 목적의 사이버 첩보 활동으로 분석되고 있다. ESET 측은 “북한 정권이 관심 대상으로 여기는 인물들의 정보를 수집하려는 목적일 가능성이 높다”고 설명했다.

이번 공격은 단순 악성 앱 배포가 아니라 게임 플랫폼 업데이트 서버 자체를 변조한 공급망 공격(Supply Chain Attack) 형태로 진행된 것으로 파악됐다. 공격자는 정상 게임 업데이트 파일에 악성 DLL을 삽입한 뒤 추가 악성코드를 다운로드하도록 구성했으며, 이후 흔적을 숨기기 위해 정상 파일로 다시 교체하는 방식까지 사용한 것으로 전해졌다.

스카크루프트(APT37)는 2012년경부터 활동해온 북한 연계 해킹 조직으로, 한국 정부기관과 군사·안보 분야를 주요 표적으로 삼아온 조직이다. 최근에는 암호화폐 탈취, 가짜 화상회의, 게임 플랫폼 공격 등 활동 범위를 넓히고 있다는 분석도 나오고 있다.