이석원 기자보안 기업인 볼렉시티(Volexity가 북한 정부가 국가적으로 지원하는 샤프텅(SharpTongue)이라는 해커 그룹이 피해자 G메일이나 AOL 메일 등을 훔치는 교묘한 수법을 보고해 눈길을 끈다.
샤프텅은 북한 국가 안보 관련 주제를 다루는 미국과 유럽, 우리나라 조직에서 일하는 개인을 표적으로 한 해킹 그룹이다. 다른 보안 연구자로부터 킴수키(Kimsuky)라고 불리는 해커 그룹과 중복되는 부분이 있지만 볼렉시티는 타깃 조직과 같은 분류로 샤프텅을 킴수키와 구별하고 있다.
새롭게 보고된 해킹 기법은 샤펙스트(SHARPEXT)라는 악의가 있는 브라우저 확장 기능을 이용한 것. 2021년 9월 샤프텅 해커에 의해 사용되고 있는 게 확인된 것이다. 샤펙스트는 사용자명과 비밀번호를 훔치는 게 아니라 피해자가 G메일이나 AOL 메일 계정을 브라우저에서 열 때 이메일과 첨부 파일을 훔친다는 게 특징이다.
샤펙스트는 2021년 9월 발견 이후에도 진화를 거듭하고 있으며 현재 버전 3.0이 된 상태라고 한다. 첫 버전에선 구글 크롬만 지원했지만 3.0 버전에선 크롬 외에 엣지, 웨일이라는 3가지 브라우저를 대상으로 한다고 한다. 웨일은 네이버가 개발한 크로뮴 기반 브라우저로 국내 사용자가 주로 쓰고 있다.
볼렉시티에 따르면 해커는 샤펙스트를 배포하기 전에 대상 기기에 침입하고 브라우저 내 특정 파일(resources.pak), 사용자 SID, 사용자 시스템 초기화 파일 등을 수집해 이를 사용해 피해를 입힌다. 이어 브라우저로 동작하는 새로운 초기 설정 파일을 작성한다. 이후 스피어피싱 공격이나 소셜엔지니어링을 이용해 피해자 브라우저에 초기 설정 파일을 설치한다.
변경된 초기 설정 파일은 사용자가 구성한 기존 설정을 유지하면서 사펙스트, 관련 매개 변수를 로딩하는 메커니즘으로 사용자가 자발적으로 확장 기능을 설치할 필요가 없다. 샤펙스트는 브라우저에서 데브툴(DevTools)을 활성화하는 파워셸(PowerShell) 스크립트를 실행해 대상 브라우저와 관련한 프로세스를 무한 루프로 확인한다. 이때 파워셸 스크립트는 데브툴을 숨기는 것 외에 피해자에게 경고하는 창까지 숨겨 피해자는 공격이 이뤄지고 있는 걸 알기 어렵다.
설치가 끝나면 샤펙스트는 G메일과 AOL 메일 데이터, 첨부 파일을 원격 서버에 올릴 수 있다. 또 과거 피해자로부터 수집한 이메일을 나열하고 이메일이 중복 업로드되지 않도록 하는 기능과 특정 이메일 주소를 무시하는 기능도 탑재되어 있다고 한다.
북한 해커가 브라우저 확장 기능을 이용하는 사례는 과거에도 확인됐지만 공격 감염원으로 사용되는 게 대부분이며 공격 자체가 브라우저 확장 기능에 의해 실행되는 일은 드물다고 한다. 볼렉시티는 샤프텅이 1년 이상 샤펙스트를 배포했으며 여러 피해자로부터 이메일 수천 개를 수집하는데 성공했다고 말한다. 또 초기 샤펙스트는 많은 버그를 더한 미숙한 도구였지만 지속적인 업데이트와 유지 보수로 점점 정교해지고 있기 때문에 해커가 샤펙스트 운영에 가치를 찾고 있다는 지적이다.
볼렉시티는 현재 샤펙스트가 동작하는 건 윈도 뿐이지만 앞으로 맥OS나 리눅스로 확장되지 않을 이유도 없다고 경고하고 있다. 관련 내용은 이곳에서 확인할 수 있다.
이원영 기자
정용환 기자
