북한 해커들이 인도 자동화기기(ATM)에 삽입된 카드의 결제 데이터를 훔치기 위한 신규 악성코드 변종을 개발해 공격한 것으로 드러났다.
카스퍼스키랩 연구원인 콘스탄틴 지코프는 23일(현지시간) 자사 블로그에 관련글을 게시했다.
지코프는 이 악성코드를 'ATMD트랙'으로 명명했다. 사용자 키 입력값을 가로채는 '키로깅', 브라우저 기록 검색, 호스트 IP 주소·사용 가능한 네트워크 정보 수집, 실행 중인 프로세스들과 사용 가능한 모든 디스크 볼륨에 있는 파일 리스트화 등을 수행할 수 있다.
그에 따르면 ATMD트랙은 지난해 여름부터 인도 은행 네트워크에서 발견됐다. 금전 탈취보다는 민감한 데이터 접근 또는 데이터 탈취를 주 목적으로 개발됐으며, 원격접근트로이목마(RAT)에서 일반적으로 나타나는 특징들을 지니고 있다.
![](https://image.zdnet.co.kr/2019/09/24/jtwer_85zfzgkctIYyOS.jpg)
지난 2013년 국내 금융권·방송사를 대상으로 발생한 사이버공격 '다크서울'에 사용된 악성코드와 유사점이 많다는 분석도 내놨다. 이같은 정황을 근거로 북한 해커 그룹 '라자루스'가 이번 공격의 배후에 있는 것으로 추정했다.
관련기사
- 송희경 의원 "남북군사합의 1년, 北 사이버공격 여전"2019.09.24
- 북한, 자체 암호화폐 개발 중…"초기 단계"2019.09.24
- 美 재무부, 北 해커그룹 3개 제재2019.09.24
- 북한 추정 해킹 조직, 위장전술도 쓴다2019.09.24
라자루스는 지난 14일 미국 재무부가 특별 제재 대상으로 추가한 북한 해커 그룹 중 하나이기도 하다.
지코프는 라자루스가 최근까지도 ATMD트랙을 활용하고 있다는 증거도 발견했다. 활성화된 악성코드 샘플을 이번 달에 확인했다는 것이다.