[디지털데일리 이종현기자] 현직 경찰 공무원의 신분증을 도용해 해킹에 활용 중인 북한발 사이버공격이 발견됐다.

17일 이스트시큐리티는 최근 북한발 해킹 사건을 수사하는 현직 경찰처럼 위장된 공격을 발견했다고 밝혔다. 얼굴과 실명 등이 담긴 공무원증 PDF 문서로 위장해 해킹을 시도한 것이 특징이다.

경찰의 신분증을 도용한 해킹 사건은 처음이 아니다. 지난 2017년 국내 암호화폐거래소 관계자를 타깃으로 회원 가입 조회 협조 요청을 위장한 공격이 수행된 바 있다. 당시 공격에는 ‘비트코인 거래내역.xls’ 파일명의 악성코드와 신분증 PDF 사본이 함께 사용됐고, 수사당국의 대대적인 조사 결과 북한 소행으로 결론났다.

이번 공격은 악성 실행파일(EXE) 내부에 정상 신분증 PDF 문서를 은닉했다는 점에서 차이를 보인다. 악성코드 작동 시점에 정상 파일로 교체한 점이 다르다.

이스트시큐리티 시큐리티대응센터(이하 ESRC)는 이번 공격을 분석한 결과 해킹 공격 거점에 국내 서버가 악용됐다는 것을 포착했다. 관계 당국과 긴밀히 공조해 추가 피해 발생을 차단하고 공격 명령 과정에 사용된 여러 기록을 확보해 면밀히 분석 중이다.

ESRC는 공격에 사용된 웹 서버 명령어가 지난 2월과 5월에 각각 보고된 ‘유엔인권사무소 “조선민주주의인민공화국 내 인권 상황”에 관한 특별보고서’, ‘대북전단과 관련한 민주평통 제20기 북한이탈주민 자문위원 대상 의견수렴’ 사칭으로 수행된 공격 때와 명령어 패턴이 일치한 것으로 파악했다.

더불어 유엔인권사무소를 사칭했던 DOCX 악성 문서의 매크로 실행 유도 디자인과 과거 북한 배후의 해킹 공격으로 분류된 통일부 정착 지원과 사칭 공격 때의 화면이 서로 동일한 것으로 조사됐다.

이스트시큐리티 측은 “국내 사이버위협의 양상이 날이 갈수록 과감해지고, 노골적인 방식으로 진화를 거듭하고 있다. 그러나 실행파일 유형의 전통적인 공격 기법은 세심한 주의와 평소 보안 동향에 많은 관심을 기울이면 충분히 사전 예방도 가능하다”며 주의를 당부했다.