침해사고/위협동향

“또 너야?” 북한 해킹 공격 의심··· 이번엔 일반인들 스마트폰·PC 공격 시도

이종현
[디지털데일리 이종현기자] 북한의 사이버공격이 꾸준히 이뤄지고 있다. PC와 스마트폰을 도·감청하는 등의 시도가 지속함에 따라 국민 전만이 경각심을 가져야 한다는 목소리가 나온다.

7일 보안기업 이스트시큐리티는 대표적인 북한 연계 해킹 그룹으로 알려전 ‘금성121’의 새로운 지능형지속위협(APT) 공격이 발견됐다고 밝혔다.

APT 공격은 사회공학적 수법을 이용하는 경우가 많다. 가령 코로나19에 대한 불안감이 극심할 때 ‘코로나19 관련 정보’를 가장한 악성파일을 보내 감염시키는 등의 방식이다. 단순하지만 효과적이다. 공격 타깃의 정보를 이용해 그 사람이 관심 가질 만한 정보를 보내기도, 일정 기간 신뢰도를 쌓은 뒤 공격을 수행하기도 한다. ‘미인계’를 이용한 APT 공격 사례도 있다.

이날 새롭게 발견된 공격은 이메일에 악성파일을 첨부해 보내는 전형적인 스피어피싱 공격 기법이다. 북한의 최근 정세와 안보 관련 주제의 문서를 가장, 국내 특정 인권단체의 대표를 공격 표적으로 삼았다. 사전에 사회관계망서비스(SNS)를 통해 공격 대상과 친분을 만든 뒤 악성 파일을 전달하는 수법으로 공격이 이뤄졌다.

공격자는 먼저 특정 인물의 SNS 계정을 해킹한 후 친구 관계로 연결된 다른 사람을 물색해 추가 공격대상을 선정했다. 공격대상에게 SNS 메신저를 사용해 안부 인사와 함께 비슷한 관심사나 가십거리로 대화하는 등, 공격 수행까지의 과정에서 공을 들인 것으로 전해진다.

이후 자신이 작성한 최근 북한 정세와 관련된 칼럼에 대해 조언을 구하는 방식으로 악성 문서파일(.doc)을 공격대상에게 이메일로 전달했다. 첨부된 문서 파일에는 악성 매크로(Macro) 명령이 삽입돼 있는데, 이를 실행하면 개인정보 유출을 비롯한 여러 악성행위에 노출될 수 있다.

이스트시큐리티 시큐리티대응센터(ESRC)의 분석에 따르면 이번 공격에 사용된 악성파일은 작년 3월 dnlwdk 탈북 증거를 사칭한 ‘스파이 클라우드’ APT 공격과 높은 유사성을 보였다. 코드 내부에서 사이버 무기를 의미하는 ‘Weapon’ 경로가 사용됐고 ‘bluelight’ 문자열도 여러 차례 발견됐다.

ESRC는 이번 공격의 배후로 북한 연계 해킹 그룹 ‘금성121’을 지목했다. 금성121은 레드아이즈라는 이름으로도 활동하는데, 김수키(탈륨), 라자루스(안다리엘), 코니 등과 함께 대한민국을 대상으로 활발한 사이버공격을 수행하고 있는 조직이다. 국내·외 전문가 및 조사기관은 해당 조직들이 북한 정부의 후원을 받는 공격그룹으로 지목했다.

금성121은 최근 안드로이드 기반 스마트폰 스미싱 공격도 수행했다. 악성 APK 애플리케이션(앱)이 설치되면 저장된 주소록, 문자메시지, 통화내역, 위치정보, 녹음, 사진파일 등 개인정보가 대거 유출된다.

마크롱 대통령의 스마트폰을 해킹한 이스라엘의 스파이웨어 ‘페가수스’와 같은 성격의 앱이다. 탈북민인 태영호 의원(국민의힘)을 해킹해 개인정보를 탈취한 것도 금성121로 추정되고 있다.

이스트시큐리티 ESRC센터장 문종현 이사는 “금성121 조직은 특정 국회의원을 포함해 유명인사의 휴대폰을 해킹해 개인 정보를 탈취한 바 있고, 대북 전문 분야 단체의 홈페이지를 침해하거나 가짜 페이스북 계정 등을 만들어 북한 분야 종사자들을 지속적으로 노리고 있다”고 말했다.

또 그는 “특히 모바일이나 이메일로 마치 지인이나 업계 전문가 인척 연락하는 경우가 많아, APK, DOC 문서 등을 보내올 경우 반드시 발신자와 직접 통화해 사실 여부를 확인하고 열람하는 것이 안전하다”고 당부했다.
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널