구글 위협분석그룹(TAG)이 24일(현지시간) 크롬 원격코드 실행 취약점(CVE 2022 0609)를 악용한 북한 해커의 공격 캠페인 두 가지를 발견했다고 공식 블로그를 통해 밝혔다.

구글이 발견한 공격 대상은 언론사, IT 서비스, 암호화폐와 핀테크 등 다양한 산업에 걸쳐 일어났으며, 이 밖에 조직과 국가가 표적이 됐을 가능성도 있다고 덧붙였다.

앞서 구글은 지난달 14일 크롬에서 제로데이 취약점을 발견하고 긴급 패치를 진행했다. 제로데이 취약점이란 알려졌지만 대응책이 마련되지 않은 보안 취약점으로, 패치가 발표되더라도 사용자가 이를 업데이트하지 않았다면 여전히 '제로데이' 상태로 남는다. 해커가 해당 취약점을 악용할 경우 원격에서 명령어를 실행하고, 브라우저의 보안 기능을 우회해 특정 사이트에 접속하는 사용자에게 악성코드를 설치할 수도 있다.

구글 위협분석그룹은 적어도 올해 1월부터 해당 취약점을 노린 해킹 도구가 배포됐을 것으로 예상했다. 우선 언론사와 IT기업을 노린 공격 캠페인은 언론사 10개, 도메인 등록 기관, 웹호스팅 업체, SW 개발사 등에 종사하는 개인 250명을 대상으로 펼쳐졌다.

해커는 디즈니, 구글, 오라클 등의 채용담당자로 위장해 악성 이메일을 발송했다. 이메일에는 구직 웹사이트로 위장한 가짜 웹사이트 링크가 포함돼 있다. 가령 'disneycareers[.]com' 같은 정상 사이트 주소를 'disneycareers[.]net' 등으로 위장하는 식이다.

사용자가 해당 링크를 클릭해 사이트에 접속하면, 잘 꾸며진 가짜 사이트가 나타난다. 여기서는 숨겨진 태그를 이용해 외부 사이트로 연결하고, 사용자 PC에 악성코드를 주입한다.

암호화폐와 핀테크 기업 최소 두 곳을 노린 공격 캠페인은 관련 산업 종사자 85명을 대상으로 펼쳐졌으며 채용 위장 캠페인과 유사한 방식을 사용했다. 정상 사이트와 유사한 가짜 인터넷 주소를 활용한 것은 물론, 일부 정상적인 사이트를 해킹해 공격을 위한 거점으로 활용했다. 이 밖에도 암호화폐 관련 소프트웨어로 위장한 트로이목마를 배포한 사례도 있다.

구글 연구원에 따르면 해커는 자신들의 공격 방식을 노출하지 않기 위해 보호조치도 마련했다. 공격이 노출되면 보안기업 등에서 대응책을 마련할 수 있기 때문이다. 이에 북한 해커는 악성코드 설치에 사용한 아이프레임(iframe) 태그를 특정 시간에만 적용했다. 또한 사이트에 접속한 사용자를 구분하기 위해 PC 고유 정보도 수집했다. 중복된 공격을 막기 위해서다. 이 밖에도 크롬 이외의 브라우저나 맥OS 사용자를 감지할 경우 이들을 위한 맞춤형 공격 사이트로 안내하기도 했다.

현재 구글은 해당 취약점을 개선했으며, 식별된 모든 웹사이트를 '세이프 브라우징'에 추가해 사용자에게 악성 사이트를 안내한다. 다만 잠재적 위협에 대응하기 위해 최신 버전 크롬으로 업데이트해야 하며, 세이프 브라우징 기능을 켜서 악성 사이트에 접속되지 않도록 차단해야 한다.