피치원미디어
[피치원단독]북한해커,中연변PC게임방해킹,탈북민·국내 금융자산·한국가족추적 [피치원단독]북한해커,中연변PC게임방해킹,탈북민·국내 금융자산·한국가족추적

[피치원단독]북한해커,中연변PC게임방해킹,탈북민·국내 금융자산·한국가족추적

뉴스 2026년 5월 8일 pitchone 0

sqgame.ESET1 국가정보원2 북한해커1 북한해킹2 사이버위협1 스카크러프트1 트로이목마1
북한 정부가 지원하는 중국내 해킹그룹이 중국 연변 조선족 자치구 및 북한 북경지역 일대 PC게임방 플랫폼 전체를 해킹,탈북민추적은 물론 한국내 금융자산,한국내 가족까지 추적하는 전방위적 해킹에... [피치원단독]북한해커,中연변PC게임방해킹,탈북민·국내 금융자산·한국가족추적

북한 정부가 지원하는 중국내 해킹그룹이 중국 연변 조선족 자치구 및 북한 북경지역 일대 PC게임방 플랫폼 전체를 해킹,탈북민추적은 물론 한국내 금융자산,한국내 가족까지 추적하는 전방위적 해킹에 나서고 있다는 의혹이 제기되고 있다.

슬로바키아 보안기업 ESET는 지난 5일 북한연계 APT그룹 스카크러프트(APT37)의 멀티플랫폼 공급망공격을 전격 공개했다.

표적은 중국 연변 조선족 자치주 거주민을 대상으로 하는 게이밍플랫폼(sqgame[.]net)이며 이 플랫폼이 배포하는 윈도우 데스크톱 클라이언트 업데이트 패키지와 안드로이드 게임 APK가 모두 트로이목마화됐다고 ESET측은 밝혔다.

특히 이번 해킹사건은 해킹을 통한 단순첩보를 넘어 표적 개인의 한국내 금융자산과 정부문서 접근까지 염두에 둔 고도의 해킹정밀 작전이라는 점에서 정부 대응이 시급하다는 지적이다.

해킹패턴 분석결과 이번 스카크러프트의 공격은 중국 연변거주 조선족은 물론 연변을 1차 경유하는 탈북민 및 탈북보조자(브로커,NGO종사자,종교활동가),심지어 한국거주 조선족가족 역시 표적 단말기에서 수집되는 연락처 및 문자메시지(SMS),통화기록을 통해 식별이 가능한 수법으로 밝혀져 이들 3개 그룹에 대한 인적안전에 위협이 될수 있다는 점에서 충격을 주고 있다.   

ESET는 이번 공격은 지난 2024년 후반부터 최소 18개월이상 진행중이며, 최근에도 일부 악성 APK는 sqgame 공식사이트에 그대로 게시돼 있는 걸 확인했다고 밝혔다. ESET측은 지난해 12월 sqgame측에 통보했으나 회신을 받지 못했다고 공개했다.

깃업 사이버위협 리포트는 7일 북한지원 해킹그룹으로 추정되는 스카크러프트가 악성코드(내부코드명 주아고우,捉狗 개를 잡다는 의미) RokRAT를 배포해 연변지역 모든 PC방 플랫폼을 해킹한 것으로 추정된다고 보고했다.

sqgame 도메인 플랫폼을 통해 이뤄진 이번 해킹사건은 연변지역 전통카드,보드게임 전반에 걸쳐 이뤄지고 있으며 해킹타깃층은 주로 연변 조선족 자치주 거주민이 주로 이용하는 고스톱 및 로컬카드게임 이용자다.

스카크러프트의 이번 사이버공격은 북한정부가 탈북민을 대거 검거하기 위해 연변지역 PC방에 접속하는 탈북민 접속기록 및 연락처,국내 금융자산,한국내 친척 개인정보 등을 집중 해킹한 것으로 추정된다.

이번 사건은 북한정부 지원해커그룹으로 추정되는 스카크러프트가 그동안 윈도우에 한정해 운용해온 버드콜 백도어의 안드로이드포트(zhuagou)를 신규 무기화한 것이라고 깃업에 게시된 보고서는 분석했다.

ESET는 2024년 10월경 만들어진 v1.0부터 지난해 6월경 만들어진 v2.0까지 총 7개 버전을 식별했으며,이는 단발성 도구가 아닌 수개월간 적극적으로 개발운영된 모바일 첩보플랫폼임을 의미한다고 분석된다.

이번 사건은 또한 표적파일 확장자 목록에 한국공인 금융인증서 형식인 .p12와 한컴오피스 문서형식인 .hwp가 명시적으로 포함된다는 사실도 주목된다. 이는 이번 작전이 단순첩보를 넘어 표적 개인의 한국 금융자산과 정부문서 접근까지 염두에 둔 고도의 해킹정밀 작전이라는 점에서 정부 대응이 시급하다는 지적이다.

이번 해킹주도 그룹이 보여준 패턴은 그동안 중국 해커그룹에서 출발해 북한 스카크러프트가 인수,업그레이드한 정황이 드러난 점도 주목해야할 대목이다.

이번 사건에서 사용한 백도어의 내부코드명 zhuagou(捉狗) 는 일반적인 중국어가 아닌 중국권 해커·크랙·게임핵 커뮤니티의 정착된 은어로,2012년경부터 정보수집·계정탈취·사용자추적 모듈을 지칭하는 표준용어다. 이런 점이 이번 해킹주도세력이 중국 해커그룹에서 출발했지만 북한 스카르크러프트가 인수한후 업그레이드한 정황을 보여주는 대목이라고 전문가그룹은 분석했다.

특히 연변은 북한 탈북민들의 주요 1차 경유지로 이들이 연변지역 PC방에 접속하는 순간 이들 해커그룹에 의해 추적되는 상황이다. 심각한 것은 이번 해킹작전은 북한 탈북민은 물론 탈북보조자,연계 NGO및 종교단체종자사 등 인권활동가의 신원 및 위치,연락망을 식별하는 사용될수 있어 단순한 사이버해킹이 아닌 탈북민 전체의 인적안전을 위협하는 행위로 해석돼 정부차원의 대응이 시급하다는 지적이다.

ESET는 표적의 우선순위는 sqgame 자체가 연변 전통게임에 특화한 플랫폼인 점에 비춰 연변거주 조선족이 1차 표적대상이며 연변을 1차 경유하는 탈북민 및 탈북보조자(브로커,NGO종사자,종교활동가) 등 2차 표적대상자이고, 한국거주 조선족가족 역시 표적 단말기에서 수집되는 연락처, SMS,통화기록을 통해 2차 표적으로 식별가능하다고 분석했다.

국내 금융자산 해킹및 국내 거주 친척에 대한 추적으로 인한 금융피해및 인적안전이 우려됨에 따라 국가정보원및 국회 대응이 시급하다는 지적이 제기되고 있다.

Add a comment

No comments so far.

Be first to leave comment below.

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다.

주소 : 서울특별시 마포구 동교로 132 3층 인터넷신문등록번호 : 서울 아03827 등록일자 : 2015.07.17 발행인/편집인: 김광일 Copyright © Redcarpet Korea Corp. All Rights Reserved ☎ 02) 6203-8111