러시아 정부와 연계된 해킹 조직 콜드라이버(COLDRIVER)가 새로운 악성코드 '로스트키스(LOSTKEYS)'를 활용해 서방 국가의 비정부기구(NGO)와 단체를 겨냥한 첩보 활동을 벌이고 있다는 경고가 제기됐다.
7일 구글 위협 인텔리전스(Google Threat Intelligence) 보고서에 따르면, 해당 조직은 기존의 계정 인증 정보 탈취 방식에서 벗어나 보다 정교한 악성코드 기반의 공격으로 전환하고 있는 것으로 나타났다. 로스트키스는 사용자의 기기에 침투해 민감한 문서를 수집하는 기능을 지닌 것으로 평가된다.
이 악성코드는 총 4단계를 거쳐 설치된다. 먼저 사용자에게 가짜 CAPTCHA(자동입력방지코드)를 표시하는 ‘미끼 웹사이트’에 접속하게 하고, 그 순간 파워셸(PowerShell) 스크립트를 클립보드에 복사해 실행을 유도한다. 이후 로컬 보안 시스템을 우회하는 기기 회피 기법이 적용되고, 마지막 단계에서 악성 페이로드가 다운로드되며 로스트키스가 설치된다.
구글은 이번 분석을 통해 COLDRIVER의 사이버 작전이 단순 피싱 수준에서 고도화되고 있다는 점에 주목하고 있다. 과거 COLDRIVER는 언론인, 정책분석가, 정치 활동가의 이메일 정보를 탈취하는 피싱 공격을 주로 벌였지만, 최근에는 시스템 침투를 통한 정보 수집 및 감시 능력을 강화하는 방향으로 전략을 전환한 것으로 분석된다.
전문가들은 이 같은 국가 주도형 해킹이 미국과 유럽의 정부 및 시민사회에 대한 정치적 정보전을 구성한다고 지적하며, 선거를 앞둔 주요 국가에서는 이러한 위협에 대한 대응 체계를 강화할 필요가 있다고 경고하고 있다. 구글은 이번 캠페인에 노출될 수 있는 기관과 개인들에게 강력한 보안 훈련과 정기적인 위협 탐지 체계의 필요성을 강조했다.