북한 해커들이 인도 자동화기기(ATM)에 삽입된 카드의 결제 데이터를 훔치기 위한 신규 악성코드 변종을 개발해 공격한 것으로 드러났다.
카스퍼스키랩 연구원인 콘스탄틴 지코프는 23일(현지시간) 자사 블로그에 관련글을 게시했다.
지코프는 이 악성코드를 'ATMD트랙'으로 명명했다. 사용자 키 입력값을 가로채는 '키로깅', 브라우저 기록 검색, 호스트 IP 주소·사용 가능한 네트워크 정보 수집, 실행 중인 프로세스들과 사용 가능한 모든 디스크 볼륨에 있는 파일 리스트화 등을 수행할 수 있다.
그에 따르면 ATMD트랙은 지난해 여름부터 인도 은행 네트워크에서 발견됐다. 금전 탈취보다는 민감한 데이터 접근 또는 데이터 탈취를 주 목적으로 개발됐으며, 원격접근트로이목마(RAT)에서 일반적으로 나타나는 특징들을 지니고 있다.
지난 2013년 국내 금융권·방송사를 대상으로 발생한 사이버공격 '다크서울'에 사용된 악성코드와 유사점이 많다는 분석도 내놨다. 이같은 정황을 근거로 북한 해커 그룹 '라자루스'가 이번 공격의 배후에 있는 것으로 추정했다.
관련기사
- 송희경 의원 "남북군사합의 1년, 北 사이버공격 여전"2019.09.24
- 북한, 자체 암호화폐 개발 중…"초기 단계"2019.09.24
- 美 재무부, 北 해커그룹 3개 제재2019.09.24
- 북한 추정 해킹 조직, 위장전술도 쓴다2019.09.24
라자루스는 지난 14일 미국 재무부가 특별 제재 대상으로 추가한 북한 해커 그룹 중 하나이기도 하다.
지코프는 라자루스가 최근까지도 ATMD트랙을 활용하고 있다는 증거도 발견했다. 활성화된 악성코드 샘플을 이번 달에 확인했다는 것이다.
