[디지털투데이 황치규 기자]최근 미국 정부로부터 기소를 당한 북한 해킹 조직 '안다리엘(Andariel)'에 대한 관심이 높다.

미국 법무부는 7월 안다리엘을 기소한데 이어 조직원 '림정혁'에 대한 체포 영장을 발부했다. 앞서 마이크로소프트는 2014년부터 마이크로소프트 위협 인텔리전스 커뮤니티(Microsoft Threat Intelligence community)를 통해 해당 조직을 ‘오닉스 슬릿’으로 명명하고, 위험성을 경고해왔다.

최근 마이크로소프트가 블로그를 통해 공개한  악성코드를 이용한 오닉스 슬릿  정보 수집 활동 및 보안 권장 사항’을 보면  오닉스 슬릿은 군사, 방위, 기술 업계 대상으로 정보 수집과 금융 이익을 추구하는 북한 정찰총국 소속의 사이버 해킹 조직이다. 

2014년부터 활동을 시작했고 다양한 맞춤형 원격 접근 트로이 목마(RAT)를 개발하고 새로운 변종을 지속적으로 만들어 탐지를 피하는 전술을 구사하고 있다.

오닉스 슬릿은 N-데이 취약점(이미 알려지고 공개된 취약점)을 악용해 표적 조직에 대한 초기 접근 수단을 획득하고, 지속적으로 표적 네트워크에 접근할 수 있는 공격 도구를 사용해왔다.

공격 방식을 보면 오닉스 슬릿은 주로 스피어피싱, N-데이 취약점, 오픈소스를 이용한 공격에 주력해왔다.이들은 가상 사설 서버(VPS)와 클라우드 인프라를 활용해 명령 및 제어(C2)를 수행하고 있다.

공격 대상은  한국, 미국, 인도 등 주요 국가들 국방 및 IT 서비스 조직들이었다. 여러 글로벌 기관들에서 민감한 방위 기술을 유출하고, 각종 랜섬웨어와 가상자산 탈취로 수익을 창출하고 있다는게 마이크로소프트 설명이다.

러시아 보안 회사 카스퍼스키(Kaspersky)에 따르면, 오닉스 슬릿은  2019년 9월부터 2024년 1월 사이  Dtrack으로 알려진 RAT를 생성 및 배포해 사이버 공격을 진행했다.

2024년 5월 안랩 시큐리티 인텔리전스 센터(ASEC)에 따르면, 오닉스 슬릿은 새로운 악성코드인 DoraRAT을 사용해 국내 기업 및 기관을 대상으로 APT(지능형 지속 위협) 공격을 수행했다.

2024년 7월 미국 법무부는 오닉스 슬릿이 2022년 마우이 랜섬웨어를 이용해 미국 내 병원 및 의료 서비스에 피해를 입힌 사실로 기소했다.

마이크로소프트 위협 인텔리전스 커뮤니티는 오닉스 슬릿과 연관 있는 공격 그룹인 스톰-0530(Storm-0530)도 활동 중임을 확인했다. 마이크로소프트 위협 인텔리전스 커뮤니티는 미연방수사국(FBI)과 공조해 오닉스 슬릿과 관련된 사이버 공격 활동을 면밀히 추적하고 모니터링한다는 게획이다.