북한 국가지원형 해커그룹인 김스키(Kimsuky)는 주로 한국계 조직을 대상으로 다양한 악의적 공격을 벌이고 있다. 이런 김스키가 적어도 5년 전부터 사용하고 있는 골드 드래곤(Gold Dragon)이라는 악성코드는 어떻게 보안 연구자 시스템에 다운로드되지 않고 공격 대상에게만 도달하게 될까.
보안 기업 카스퍼스키랩에 따르면 골드 드래곤은 2022년 초 다양한 한국 기업에 대해 새로운 작전을 시작했으며 여기에는 무효인 다운로드 요청을 필터링하기 위한 새로운 기법이 채택되고 있었다고 한다. 골드 드래곤 수법은 강력하고 연구자가 공격자 C2 서버에 정상 접속할 수 있었던 뒤에도 악의적 동작을 하는 부분이 되는 페이로드를 취득할 수 없는 구조가 되어 있다고 한다.
김스키 공격은 우리나라 정치인과 외교관, 대학 교수, 저널리스트에게 악성코드가 포함된 워드 문서를 포함한 피싱 메일을 보낸다. 처음 보내는 메일에는 1단계 발판이 되는 컴퓨터인 C2 서버에 피해자를 유도하는 링크가 포함되어 있어 이 서버가 링크에 액세스하는 사람은 타깃인지 아닌지 판단하는 구조다. 방문자 이메일 주소가 대상인 경우 추가로 악의적 문서를 보내고 액세스한 사람이 대상 목록에 없는 경우 링크를 받은 대상에게 무해한 문서만 게재된다.
첫 단계 C2 서버는 피해자 이메일 주소, OS, 첫 번째 액세스 여부 등 정보를 포함하며 피해자 IP 주소는 추가 검사 항목으로 2번째 C2 서버에 전송된다. 2단계 체크를 통과하면 피해자에게 악의가 있는 매크로를 포함한 페이로드를 취득시켜 공격을 실행한다. 결국 멀웨어는 로컬 파일 목록, 사용자 키 입력, 저장된 브라우저 로그인 자격 증명 등을 훔칠 수 있다는 것.
카스퍼스키랩은 악성코드 골드드래곤 2단계까지의 페이로드만 얻을 수 있었기 때문에 악성코드가 어떻게 작동하는지 최종 단계인지 아니면 추가 피해자 판결 수단이 포함되어 있는지는 알 수 없었다고 한다. 관련 내용은 이곳에서 확인할 수 있다.