문픽 ’MoonPeak’, 북한 해커들의 은밀한 원격제어 무기
올해 봄, 북한 연계 해커들(김수키)이 외교 사절단을 대상으로 첩보 작전을 벌인 사실이 드러났습니다. 이들은 우리가 흔히 사용하는 깃허브(GitHub), 드롭박스(Dropbox), 구글 드라이브(Google Drive) 같은 서비스까지 교묘하게 악용했습니다. 겉으로는 평범한 초청장이나 회의 자료처럼 보이지만, 그 안에는 문픽(MoonPeak)이라는 원격제어 악성코드(RAT) 가 숨어 있었습니다.
이메일에서 시작된 침투
해커들은 외교관을 겨냥해 스피어 피싱(Spear Phishing) 이메일을 발송했습니다. ‘스피어 피싱’이란 특정 대상만을 정밀하게 노려 맞춤 제작한 공격 메일을 말합니다. 일반적인 피싱 메일처럼 무작정 보내는 것이 아니라, 수신자가 속을 만한 모든 정보를 넣어 신뢰도를 높이는 것이 특징입니다.
메일에는 여러 언어(한국어, 영어, 프랑스어 등)로 작성된 첨부 파일이 포함되어 있었습니다. 이 파일은 PDF로 위장한 LNK 파일로, 열어보면 곧바로 파워쉘(PowerShell) 스크립트가 실행되어 깃허브에서 MoonPeak 악성코드를 내려받습니다. 사용자는 정상 문서를 보는 줄 알지만, 이미 시스템 안에는 해커의 원격 제어 장치가 설치된 상태입니다.
클라우드를 통한 은밀한 명령 전달
MoonPeak은 단순한 악성코드가 아니라, 지속적으로 변신하며 명령을 받아 움직이는 원격제어 트로이목마(RAT)입니다. 초기에는 깃허브, 드롭박스 등 신뢰할 수 있는 클라우드 서비스를 통해 새로운 명령을 받았습니다.
비유하자면, 정상적인 택배 상자 속에 작은 쪽지를 넣어두고, 수시로 쪽지를 교체하며 지시를 바꾸는 것과 같습니다. 이런 방식으로 공격자는 수시로 명령을 바꾸면서도 탐지를 피할 수 있었습니다. 최근에는 별도로 C2 서버를 구축해, 더욱 은밀하게 운영되고 있습니다.
문픽(MoonPeak)의 특징
MoonPeak은 오픈소스 RAT인 XenoRAT을 변형한 버전으로, 단순 복제판이 아닙니다. 공격자가 특별히 분석과 탐지를 어렵게 만들기 위해 수정한 특징이 있습니다.
- 데이터를 압축하여 분석을 어렵게 함
- 코드 구조를 바꿔 기존 XenoRAT과 호환되지 않도록 설계
- 지속적으로 새로운 서버를 교체하며 탐지 회피
쉽게 말하면, 기성 차량을 튜닝해 자기들만 쓰는 전용 리모컨 자동차로 만든 것과 같습니다. 공격자는 MoonPeak을 이용해 피해자의 화면을 보거나 파일을 훔치고, 새로운 명령을 내려 시스템을 장악할 수 있습니다.
우리가 얻어야 할 교훈
MoonPeak 은 다음과 같은 메시지를 줍니다.
- 겉으로 신뢰할 수 있는 서비스도 공격자에게 악용될 수 있다
- 정상 문서처럼 보이는 첨부 파일이 언제든 악성코드의 탈을 쓸 수 있다
즉, 눈앞에 보이는 것만 믿지 말고, 한 번 더 점검하는 습관이 필요합니다.
블랙쏘세지로 링크를 안전하게 열람하기
MoonPeak과 같은 위협은 대부분 이메일 링크나 첨부 파일을 여는 순간 시작됩니다. 문제는 클릭하기 전까지는 위험한지 아닌지 알기 어렵다는 점입니다.
블랙쏘세지는 바로 이 지점을 해결합니다. 내 기기에서 직접 링크를 여는 대신, 원격의 안전한 브라우저에서 먼저 실행해 확인해 줍니다. 마치 문을 열기 전, 보안 요원이 먼저 들어가 안을 살펴보고 안전을 보장하는 것과 같습니다. 덕분에 악성코드의 위험 없이 웹 콘텐츠를 확인할 수 있습니다.
