[디지털데일리 김보민기자] 북한 사이버 공격 그룹이 주요 인프라 산업에 종사하는 이들을 겨냥하고 있다는 분석이 나왔다. 공격자는 유명 기업의 채용 담당자로 위장해, 구인 공고를 내는 방식으로 공격 전술을 펼친 것으로 확인됐다.

20일 구글 맨디언트 블로그에 따르면 최근 포착된 북한 사이버 공격 그룹의 이름은 'UNC2970'이다. UNC2970는 직무 설명 콘텐츠를 제작해 미국 중요 인프라 분야에서 종사하는 이들을 표적으로 삼았다. 항공우주, 에너지 산업 종사자가 대표적이다.

이 공격 그룹은 이메일과 왓츠앱(WhatsApp)을 통해 피해자와 접촉했고, PDF 파일 형식으로 직무 설명이 포함된 악성 아카이브를 공유했다. PDF 파일은 암호화됐고, 일종의 트로이목마 버전으로만 열람할 수 있었다. 트로이목마는 사용자가 신뢰할 만한 사이트나 파일에 악성코드 등을 심어 잠입하는 공격 방식을 뜻한다.

맨디언트가 공개한 실제 위장 사례를 살펴보면, 고위 및 관리자 수준의 직원이 대상이었다는 사실을 알 수 있다. 맨디언트는 "위협 행위자가 상위 직원에게만 제한되는 민감 혹은 기밀 정보에 접근하려 했다는 사실을 시사하는 부분"이라고 설명했다.

공격자가 전달한 공고 내용은 기존 공식 파일과 유사하다는 특징이 있다. 다만 피해자에 특화된 맞춤형 내용이 포함됐다는 차별점이 있다. 일례로 '필수 교육, 경험 및 기술'란에는 당초 '미국 공군 혹은 유사 경험'이 있어야 한다는 내용이 포함되지만 공격자가 수정한 공고문에는 관련 부분이 생략됐다.

맨디언트는 "위협 행위자는 피해자가 왓츠앱 채팅 등을 통해 받은 아카이브를 다운로드하고, 이를 열람해 직무 설명이 포함된 문서를 볼 것으로 이미 예상했다"고 말했다.

향후 UNC2970의 활동이 이어질 것으로도 내다봤다. 맨디언트는 "현재 미국, 영국, 네덜란드, 스웨덴, 독일, 싱가포르, 홍콩, 호주에 있는 피해자를 표적으로 삼는 것을 관찰했다"고 진단했다.

한편 북한 공격 그룹이 트로이목마 방식으로 위협을 가한 사례는 이번이 처음이 아니다. 일례로 북한 해킹 그룹으로 알려진 문스톤슬릿(Moonstone Sleet)은 가짜 온라인 게임으로 위장해 악성코드를 배포해 주목을 받은 바 있다. 정상 게임처럼 위장하지만, 내부에 악성 요소를 숨겨두는 전형적인 트로이목마 공격 방식이다.