북한 연계 해커그룹, 한글 보안 앱으로 위장한 DocSwap 말웨어 유포

북한 해커 그룹, 한글 앱으로 위장한 말웨어 독스왑 유포

북한 해커 그룹, 한글 앱으로 위장한 말웨어 독스왑 유포

 

• 공격 개요
  • 북한 연계 위협 그룹이 ‘문서열람 인증 앱’이라는 이름의 한글 보안 문서 뷰어 앱으로 위장한 DocSwap 말웨어를 국내에 유포
  • 모바일 사용자의 개인정보 탈취를 목적으로 설계되었으며, S2W 위협인텔리전센터 탈론에 의해 포착
• 주요 악성 기능
  • 감염 시 기기 내부의 security.db 파일을 해독하여 키로깅, 정보 수집 및 탈취 기능 수행
  • 안드로이드 스마트폰 사용자 대상이며, 한글 앱 이름 및 네이버 파비콘을 사용하는 등 사회공학적 기법 적극 활용
  • 정식 문서열람을 위장하여 사용자의 신뢰를 유도하고 앱 설치를 유도
• 공격자 분석
  • S2W는 해당 공격이 북한의 김수키(Kimsuky) 그룹과 연계된 것으로 분석
  • 김수키는 과거 한국 내 안보, 외교, 국방 분야를 겨냥한 다양한 APT(지능형 지속 공격)를 수행한 이력이 있음
  • 이번 DocSwap 캠페인은 김수키의 전술 중 모바일 기반 정보 수집 활동의 일환으로 해석됨
• 위협 대상 및 특징
  • 한국 내 스마트폰 사용자 중 특히 정부기관, 군 관계자, 기업 임직원 등 주요 정보 접근 가능 계층을 노린 표적형 공격
  • 기존 스피어 피싱 이메일 기반이 아닌 앱 유포형 위장 캠페인이라는 점에서 전술적 진화 확인
  • 앱 설치 유도 방식은 웹사이트, 문서, 링크 등을 통한 직접 다운로드 방식으로 추정됨
• 보안 권고
  • 공식 마켓 외 앱 설치 자제 및 출처 불명의 APK 설치 방지 설정 필요
  • Android 보안 업데이트 최신 상태 유지 및 보안 솔루션을 통한 정기 스캔 수행
  • 보안 파일 접근 및 무단 데이터 수집 탐지 기능이 있는 모바일 EDR 솔루션 도입 고려
  • 의심 앱 발견 시 KISA(한국인터넷진흥원), 국정원 사이버안보센터 등 관련 기관에 신고
• 결론
  • 북한 김수키 그룹은 기존 이메일 기반 공격에서 모바일 앱 기반의 공격으로 활동 영역을 확장 중
  • 모바일 플랫폼에 대한 사회공학 기법과 현지화된 위장 수법의 결합은 사용자 경계를 무력화시킴
  • 국내 사용자 대상의 악성앱 유포는 향후 국가 안보 및 기업 정보 유출로 이어질 수 있어 경각심 필요