[아이뉴스24 김국배 기자] 특정 해킹그룹이 국내 고스톱·포커(일명 고포류) 게임 이용자를 노리고 지속적으로 악성코드를 유포한 정황이 포착됐다.
29일 국내 보안업체 안랩 보고서에 따르면 2016년 10월부터 지난해 8월까지 약 11개월 동안 특정 해킹 그룹이 사행성 웹보드 게임 이용자의 정보를 탈취하는 악성코드를 제작해 유포한 것으로 분석됐다.
안랩은 이 공격을 '오퍼레이션 레드 겜블러(Operation Red Gambler)'라고 명명했다.
해킹 조직은 유틸리티 소프트웨어(SW) 설치 파일을 변조하거나 PC방 관리 프로그램을 조작하는 형태로 악성코드를 유포했다. 경제적 이익을 목적으로 사용자의 게임정보를 탈취하는 악성코드다.
2016년 10월부터 12월까지는 유틸리티 SW를 통한 공격이 감지됐다. 가상 사설망(VPN) 서비스부터 원격제어, 시스템 최적화 프로그램까지 다양한 종류의 유틸리티 SW가 공격 대상이 됐다.
유틸리티 SW 공식 웹사이트에서 다운로드 게시판에 업로드된 설치 파일이나 다운로드 링크 주소를 변조하는 공격 방식을 썼다.
그러다 2017년 상반기 PC방 관리 프로그램을 통한 공격이 확인됐다. PC방의 특성상 소수의 관리 서버로 다수의 PC를 통제할 수 있는 구조를 악용, PC방 업체 관리 프로그램의 일부를 통해 악성코드를 유포한 것이다.
유틸리티 프로그램을 이용하는 불특정 다수의 사용자를 대상으로 한 공격 효과가 미비하자 PC방 이용자로 목표물을 변경한 것으로 보고서는 추정했다. 해당 공격은 지난해 8월까지 계속됐다.
보고서는 "해킹 그룹은 다수의 PC에 동시에 명령을 내리기 위해 PC방 운영 솔루션 또는 관리 프로그램 서버에 침투한 뒤 사전에 제작된 악성 인터넷주소(URL)에서 악성코드를 다운로드하는 명령을 내렸을 것"이라고 해석했다.
상세 분석 결과 이 조직이 쓴 악성코드는 윈도 운영체제(OS)의 사용자 계정 컨트롤(UAC) 기능을 우회해 관리자 권한으로 실행되며 악성행위를 수행한다. 게임정보 유출을 위해 메모리 해킹 기법이 적용돼 있다.
게임 이름·채널, 게임 방 제목, 게임 화면 정보 등을 해킹 조직의 명령제어 서버(C&C)로 전송해 감시하며, 악성코드가 감염된 시스템에서 실행중인 게임에 접속해 상대방의 패를 보는 식으로 사기도박을 진행한 것으로 보고서는 판단했다.
아울러 보고서는 이 공격과 2016년 2월 I사 인증서 유출, 4월 방산업체 해킹, 2016년 8월 국가기관 해킹, 2017년 3월 ATM 해킹 등에 사용된 악성코드가 동일한 암·복호화 패턴을 사용하고 있다고 분석했다.
보고서는 "2016년부터 국내를 타깃으로 지속적인 공격을 전개해온 이 그룹은 과거 국내 기업과 기관을 집중 공격했던 것과 별개로 최근 다수의 일반 사용자에게 사이버 공격을 수행하며 공격 대상을 다각화하고 있다"고 지적했다.
또한 "앞으로도 공격이 이어질 것으로 예상된다"며 "공격에 대비하기 위해 국가기관과 보안업체 간 긴밀한 공조가 필요할 뿐 아니라 개인 사용자도 더욱 각별히 주의해야 한다"고 제언했다.
김국배기자 vermeer@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기