침해사고/위협동향

북한 해커, 이번에는 네이버 ‘마이박스’ 사칭한 공격활동 펼쳤다

이종현
[디지털데일리 이종현기자] 네이버의 클라우드 스토리지 서비스 ‘마이박스(MYBOX)’를 사칭한 공격 정황이 발견됐다. 대북 전문가나 언론사 기자가 주요 타깃이다.

8일 사이버보안 기업 이스트시큐리티는 네이버의 클라우드 공유 초대 서비스 내용처럼 위장한 북한 연계 해킹 공격이 최근 잇따라 포착됐다고 밝혔다.

이번 공격은 국내 이용자가 많은 네이버 마이박스를 사칭한 것이 특징이다. 주로 대북 분야에 종사하는 전문가나 기자들을 상대로 피싱 공격을 진행하고 있는 것으로 드러났다.

지난 토요일에 수행된 공격은 마치 ‘북핵개발 역사와 북미관계 발전전망’ 파일을 공유한 것처럼 현혹했다. 클라우드 공유 초대자를 과거 정부 때 국가정보원 해외·북한 담당 1차장을 지냈던 인물의 이름을 도용해 전달했다. 통상 국가정보원 직원의 신원은 대외에 노출되지 않는데, 실존한 사람의 이름을 사용한 것만으로도 위험도를 높였다.

해킹 공격 메일 본문에는 공유 초대 수락 버튼 클릭을 유도하기 위해 “북한 8차 당대회의 전략노선 및 대남정책 변화 전망을 1건 보내드립니다. 참고하시면 다른 분들께도 도움이 되실 것 같아 이 파일을 공유합니다”라는 초대 메시지를 포함했다.

이스트시큐리티 시큐리티대응센터(이하 ESRC)의 분석 결과 해킹 메일 본문에 포함된 공유 초대 ‘수락’ 버튼을 클릭할 경우 피싱 서버로 접속돼, 이용자의 비밀번호 탈취를 시도하는 것으로 파악됐다.

공격자가 포털 클라우드 서비스의 공유 초대 기능을 직접 사용한 것은 아니지만, 해킹 메일 본문이 실제 정상 서비스의 디자인 및 문구와 거의 흡사하게 모방해, 평소 해당 공유를 받아본 경험이 있는 수신자라면 별다른 의심 없이 해킹 위협에 노출될 우려가 크다고 전했따.

수개월에 걸쳐 이와 같은 공격 수법을 분석 중인 ESRC는 이번 공격 역시 지난 7월 외화벌이 목적으로 알려진 ‘써미츠 NFT 보상 사칭 해킹’ 사건과 상반기부터 지속 발견 중인 ‘건강검진 결과 증명서 발급으로 위장한 해킹 공격’ 등의 연장선이라고 분석했다. 주요 침해 지표(IoC)와 위협 전략까지 종합적으로 분석한 결과 이른바 ‘KGH’로 분류된 북한 정찰총국 연계 해킹 조직의 소행으로 보인다는 것이 이스트시큐리티 측 설명이다.

이스트시큐리티 ESRC 관계자는 “오는 22일부터 한미연합훈련이 실시되는 가운데, 북한 배후로 지목된 사이버 공세가 갈수록 거세지고 있다”라며 “특히, 평소 주변에서 자주 접하던 내용처럼 위장한 생활 밀착형 이메일 해킹 공격에 노출되지 않도록 개인과 기업 모두 사이버 안보에 대한 관심과 경각심을 높이고 보안 사각지대와 불감증을 제거해, 보안에 만전을 기해야 하는 시기다”라며 주의를 당부했다.

한편 이번 배후로 지목된 사이버 안보 위협 조직은 지난 7월 국내 특정 신용카드사와 금융정보보호 서비스가 제공하는 스마트 신용 서비스의 본인인증 발생 안내 메일처럼 사칭한 공격에도 가담한 것으로 드러났다. 북한 공격자들이 여러 주제를 활용해 국내 대북 분야 인사들을 상대로 해킹이 성공할 때까지 끈질기게 공격을 수행 중이며, 단순히 클릭을 유도하는 인터넷주소(URL) 피싱뿐만 아니라 악성 문서파일을 활용한 공격도 적극적으로 구사 중이다.
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널