한국에 주재하는 외국 대사관들을 겨냥한 정교한 사이버 첩보 공격이 수개월간 진행된 사실이 드러났습니다. 글로벌 보안업체 트렐릭스(Trellix)는 공격이 최소 19차례의 스피어피싱을 통해 이뤄졌으며, 공격자는 깃허브를 명령·제어(C2) 채널로 활용해 XenoRAT 악성코드를 배포했다고 밝혔습니다. 이번 공격은 2025년 3월부터 7월까지 지속적으로 전개되었습니다.
XenoRAT 악성코드 개요
XenoRAT는 윈도우 기반 원격 액세스 트로이 목마(Remote Access Trojan, RAT)입니다. 이 악성코드는 공격자가 피해자의 PC를 은밀히 제어할 수 있도록 설계되어 있습니다. 2023년 말에 깃허브에 공개된 오픈소스 프로젝트가 원형으로 알려져 있으며, 누구든 코드를 내려받아 수정하거나 자체 캠페인에 활용할 수 있다는 점에서 큰 위험성을 지니고 있습니다. 최근에는 북한 연계 조직 킴수키(Kimsuky, APT43)로 추정되는 공격과 외교·정부 기관을 노린 첩보 활동에 사용되고 있는 악성코드입니다.
XenoRAT의 주요 기능
XenoRAT은 다양한 기능을 통해 피해자의 시스템을 감시하고 정보를 탈취할 수 있습니다. 각 기능에 대해 구체적으로 살펴보겠습니다.
키로깅(Keylogging)
XenoRAT는 피해자의 키 입력을 기록하여 비밀번호나 문서 내용을 탈취합니다. 이는 사용자가 입력하는 거의 모든 정보를 수집할 수 있기 때문에 매우 치명적인 위협입니다.
스크린샷 캡처
이 악성코드는 사용자의 화면 이미지를 주기적으로 캡처하여 외부로 전송합니다. 이렇게 수집된 스크린샷은 업무와 외교 문서 같은 중요한 정보를 포함할 수 있습니다.
웹캠 및 마이크 접근
XenoRAT는 PC에 연결된 카메라와 마이크를 조작하여 영상과 음성 정보를 도청할 수 있는 기능을 가지고 있습니다. 이는 사용자의 사생활을 심각하게 침해할 수 있는 기능으로, 공격자는 이를 통해 민감한 정보를 확보할 수 있습니다.
파일 조작
감염된 시스템에서 파일을 업로드하거나 다운로드하고, 삭제 및 변경할 수 있는 기능도 포함되어 있습니다. 이를 통해 공격자는 시스템에 대한 완전한 제어를 얻을 수 있습니다.
원격 쉘(Remote Shell)
XenoRAT는 공격자가 직접 명령어를 실행하여 시스템을 제어할 수 있도록 지원합니다. 이를 통해 공격자는 필요한 작업을 자유롭게 수행할 수 있습니다.
프록시/리버스 프록시
감염된 PC를 거점으로 삼아 내부 네트워크에 접근하는 기능도 제공됩니다. 이를 통해 공격자는 내부망을 우회하여 추가적인 공격을 시도할 수 있습니다.
사이버 공격의 전개 과정
트렐릭스에 따르면, 이번 공격은 세 단계로 나뉘어 전개되었습니다. 첫 단계에서는 피해자를 겨냥한 스피어피싱 이메일이 발송되었습니다. 이 이메일은 외교 일정과 관련된 내용을 담고 있어 피해자가 쉽게 신뢰할 수 있도록 설계되었습니다. 두 번째 단계에서는 악성파일이 첨부된 링크를 클릭하도록 유도하는 방식으로 진행되었습니다. 마지막으로, 피해자가 링크를 클릭하여 악성코드가 설치되면, XenoRAT가 활성화되어 사용자 시스템을 감시하기 시작했습니다.
XenoRAT의 위험성과 영향
XenoRAT는 단순한 정보 유출을 넘어 지속적인 감시와 지휘, 추가 침투를 가능하게 합니다. 이로 인해 외교 및 정부 기관의 비밀 정보가 유출될 위험이 증가하고 있습니다. 이러한 공격의 발생은 국가 간의 긴장을 더욱 고조시킬 수 있는 요소로 작용할 수 있습니다.
방어 및 대응 전략
XenoRAT의 위협에 대응하기 위해서는 여러 가지 전략이 필요합니다. 먼저, 모든 직원에게 사이버 보안 교육을 실시하여 스피어피싱에 대한 경각심을 높이는 것이 중요합니다. 또한, 이메일 필터링 및 안티바이러스 소프트웨어를 통한 예방 조치를 강화해야 합니다. 주기적인 시스템 점검과 네트워크 모니터링을 통해 이상 징후를 조기에 발견하고 대응할 수 있는 체계를 마련하는 것도 필수적입니다.
이와 같은 적극적인 방어 조치를 통해 XenoRAT와 같은 악성코드로부터 피해를 최소화할 수 있을 것입니다.
'IT' 카테고리의 다른 글
| 카카오 '브랜드 메시지'…개인정보 무단 활용 논란 (1) | 2025.08.19 |
|---|---|
| 안드로이드 뱅킹 악성코드 ‘ERMAC v3’ 소스코드 유출…새로운 변종 출현 우려 (2) | 2025.08.19 |
| 한국형 경량 LLM의 필요성 (2) | 2025.08.17 |
| 영국 콜트 텔레콤, 워락 랜섬웨어 공격으로 서비스 중단…1백만 건 문서 유출 (2) | 2025.08.17 |
| 마이크로소프트 엔트라 ID와 파이도 패스키 : 보안의 새로운 지평 (3) | 2025.08.17 |
