북한 해킹 그룹, 한국 제조·방산·자동차·반도체 산업 노려 An analysis showed that a hacking group believed to be behind North Korea, including Lazarus,...

구글 "북한 해킹 그룹, 한국 제조·방산·자동차·반도체 산업 노리고 있다"

 

  루크 맥나마라(Luke McNamara) 구글 위협 인텔리전스 그룹 부수석 애널리스트가 19일 서울 강남서 열린 '구글 클라우드 시큐리티 데이 미디어 브리핑'에서 글로벌 해킹 공격 현황에 대해 설명하고 있다./구글 클라우드

“지난 2년간 한국에서 해킹 공격을 가장 많이 받은 산업군은 제조업이며 금융 서비스와 미디어 및 엔터테인먼트 산업이 뒤를 이었다.”

 

Luke McNamara, an analyst at Google Threat Intelligence Group, is presenting at a Google Cloud Security Day briefing held at Google Korea Office in Gangnam-gu, Seoul on the morning of the 19th. [Picture = Reporter Jung Ho Jun] 루크 맥나마라(Luke McNamara) 구글 위협 인텔리전스 그룹 부수석 애널리스트가 19일 서울 강남서 열린 '구글 클라우드 시큐리티 데이 미디어 브리핑'에서 글로벌 해킹 공격 현황에 대해 설명하고 있다./구글 클라우드

 

An analysis showed that a hacking group believed to be behind North Korea, including Lazarus,...

https://www.mk.co.kr/en/it/11267774

 

 

루크 맥나마라 구글 위협 인텔리전스 그룹 부수석 애널리스트는 19일 서울 강남에서 열린 ‘구글 클라우드 시큐리티 데이 미디어 브리핑’에서 “APT45와 라자루스 등 북한 해킹 그룹이 한국의 제조, 방산, 자동차, 반도체 산업을 겨냥하고 있는 것으로 파악된다”며 이같이 말했다. 그는 12년 이상 사이버 보안 업계에 몸담은 전문가로 보안업체 ‘파이어아이’의 전략 분석팀, 아이사이트(iSIGHT)파트너스에서 사이버 스파이 활동 분석가 등으로 활동했다.

 

그는 “북한의 IT 인력 활동은 글로벌 모든 산업 부문에서 관찰되고 있다”면서 “다른 국가의 그룹과 비교했을 때 북한 연계 해킹 그룹의 특이점은 북한 국적을 숨기고 다양한 산업 분야의 기업에 고용돼 북한 정권에 수익을 창출하는 데 기여하고 있다는 점”이라고 했다. 맥나마라 애널리스트에 따르면, 북한 IT 인력들은 국적을 숨기고 각국 구직 사이트를 통해 소프트웨어 개발자나 IT 엔지니어로 취업한다. 이 과정에서 구직 성공률을 높이기 위해 현지 브로커의 도움을 받는다. 브로커들은 은행 계좌 개설부터 업무용 노트북 수령까지 전방위로 도와준다.

 

 

Daily Security Review  edited by kcontents

북한 IT 인력들은 외화를 벌어 북한으로 송금할 목적으로 해외 취업에 나선다. 여기에 더해 회사 내부 정보를 탈취해 해킹 공격의 통로를 열어주는 역할도 한다. 만약 정체가 탄로 나면, 그동안 모은 내부 정보를 활용해 해킹 공격을 하거나, 이를 인질로 잡고 금전적 요구를 한다. 맥나마라 애널리스트는 “북한 IT 인력들은 미국 등에서 원격 근무 형태의 고용을 활용해 구직 활동에 나서고 있는 것으로 안다”면서 “고용을 위한 인터뷰에서 카메라 촬영을 거부하거나 업무용 노트북을 이력서에 적힌 주소가 아닌 다른 곳으로 배송해달라고 할 경우 북한 IT 인력일 가능성이 있다”고 말했다.

 

 

 

특정 대상을 장기간에 걸쳐 지속적으로 공격하는 ‘지능형 지속 공격(APT)’이 갈수록 늘어나면서 공격자 추적도 어려워지고 있다. 그는 “특정 사이버 범죄 집단이 초기 접근 권한을 획득한 후 다른 공격 집단이나 국가 지원 공격자에게 넘겨주는 경우가 흔해졌다”면서 “이 때문에 해킹 공격자를 특정하거나 책임을 규명하는 데 어려움이 커지고 있다”고 했다. 구글 클라우드에 따르면 랜섬웨어 및 데이터 갈취 행위와 관련된 ‘데이터 유출 사이트(DLS)’ 피해 추정 건수는 지속적으로 증가하고 있으며, 구글 맨디언트가 2020년 DLS를 추적하기 시작한 이래로 2024년 피해 건수가 가장 많은 것으로 나타났다.

황규락 기자 조선일보

 

An analysis showed that a hacking group believed to be behind North Korea, including Lazarus,...

https://www.mk.co.kr/en/it/11267774

 

North Korea's ScarCruft Deploys KoSpy Malware, Spying on Android Users via Fake Utility Apps

북한의 ScarCruft, KoSpy 맬웨어 배포, 가짜 유틸리티 앱을 통해 안드로이드 사용자 감시

 

 

ScarCruft로 알려진 북한과 관련된 위협 세력이 한국인과 영어권 사용자를 표적으로 삼는 KoSpy 라는 전에 없던 안드로이드 감시 도구의 배후에 있다고 알려졌습니다 .

 

맬웨어 캠페인에 대한 세부 정보를 공유한 Lookout은 가장 초기 버전이 2022년 3월로 거슬러 올라간다고 말했습니다. 가장 최근 샘플은 2024년 3월에 플래그가 지정되었습니다. 이러한 노력이 얼마나 성공적이었는지는 불분명합니다.

 

회사 측은 분석에서 "KoSpy는 동적으로 로드된 플러그인을 통해 SMS 메시지, 통화 기록, 위치, 파일, 오디오, 스크린샷과 같은 광범위한 데이터를 수집할 수 있다"고 밝혔다 .

 

North Korea's ScarCruft Deploys KoSpy Malware, Spying on Android Users via Fake Utility Apps

https://thehackernews.com/2025/03/north-koreas-scarcruft-deploys-kospy.html

kcontents