북한 추정 해커들의 해킹 공격이 광범위하게 이뤄지고 있는 가운데 최근 국내 유명 포털사이트인 네이버의 클라우드를 매개로 한 피싱(Phishing) 공격이 포착됐다. 특히, 국내 북한 인권 시민단체에서 실제 사용하는 이메일 주소로 위장돼 있어 각별한 주의가 요구된다.
데일리NK가 28일 파악한 바에 따르면, 해커는 이날 오전 ‘[네이버 클라우드] 000 대표님이 클라우드 모임에서 사진, 동영상을 함께 보고싶어합니다!’란 제목의 이메일을 유포했다. 이는 특정인을 목표로 하는 맞춤형 사이버 공격인 스피어피싱으로 공격 대상자들의 이메일 계정과 비밀번호 탈취가 목적인 것으로 보인다.
해커는 국내 북한 인권 시민단체 대표자 명의로 전, 현직 북한 관련 시민단체 관계자들에게 이메일을 발송했다. 이와 관련 이 단체의 대표자는 이날 데일리NK에 “발신된 이메일 계정은 단체 대표 계정으로 실제 사용하는 것이다”면서도 “그러나 해당 메일을 보낸 적은 없다”고 밝혔다.
이와 관련 이메일을 분석한 전문가는 해당 이메일은 발신자가 조작돼 발송된 것으로 정부차원의 지원을 받고 있는 해킹조직의 소행으로 보인다고 말했다.
일반적으로 정부차원의 지원을 받고 있는 해킹조직은 북한, 러시아, 중국 등으로 알려져 있으며 탈북자, 대북 관련 단체 인사들의 정보를 노린 것으로 보아 북한 해킹 조직의 소행으로 분석된다.
문종현 이스트시큐리티 시큐리티 대응센터(ESRC) 이사는 이날 데일리NK에 “이번 피싱에 사용된 이메일은 해커가 발신자를 조작해 보낸 것으로 시민단체 대표자가 보낸 것은 아니다”며 “해커 구축한 해외 호스팅 서버를 통해 피싱 메일을 보냈으며 해당 서버는 지난 4월 통일부를 사칭한 피싱 공격에 사용된 것 같다”고 말했다.
지난 4월 통일부를 사칭한 피싱 공격은 북한 해커조직 ‘금성 121’이 통일부 주무관을 사칭해 통일부 보도자료 해명 내용인 것처럼 이메일을 보낸 사건이다. ‘금성121’은 대북 단체 및 국방 분야를 주요 공격 대상으로 사이버 침투활동을 전개해 온 조직으로 이들이 사용한 IP(Internet Protocol address, 인터넷규약주소)가 북한 평양시 류경동에서 할당된 것이 확인된 바 있다.
문 이사는 “피싱 이메일을 클릭하면 아이디와 비밀번호를 요구하는 새로운 창이 뜬다”며 “아이디와 비밀번호를 입력하면 해당 정보가 해커에게 전송된다”고 주의를 당부했다.
익명을 요구한 한 보안전문가는 “유사한 피싱 공격이 지난 2월부터 발생했지만 공격을 받는 대상자 수가 적어 외부로 많이 알려지지는 않았다”며 “다른 한편으로 피싱 공격을 당한 사람이 공격을 당한 줄 몰랐을 가능성도 있다”고 설명했다.
최근 피싱 공격은 악성코드를 설치하는 데서 그치지 않고 정상적인 화면을 보여주면서 공격 대상자들에게 감염 사실을 숨기고 있다. 이로인해 공격을 받더라도 악성코드에 감염된 사실을 인지하지 못하는 경우가 많다는 것이 이 보안전문가의 설명이다.
그는 “계정과 암호를 묻는 이메일은 반드시 발신자에게 연락해 이메일 발송 여부를 확인해 예방하는 자세가 필요하다”며 “피싱 이메일을 받았을 시 주변에 이를 알려 다른 피해자가 발생하지 않도록 하는 것도 중요하다”고 말했다.
한편, 또 다른 북한 해킹 조직은 국내 암호화폐 거래소를 노린 APT 공격을 진행한 것으로 나타났다.
ESRC는 이날 “한국의 유명 암호화폐 거래소의 이벤트 경품 수령 안내로 사칭한 APT 공격이 포착됐다”며 “공격에 사용된 스피어 피싱 이메일은 발신지가 마치 한국의 유명 암호화폐 거래소가 보낸 것처럼 조작돼 있지만, 해외 호스팅 서버에서 공격자가 발신지를 임의로 변경해 보낸 것이다”고 밝혔다.
ESRC는 “한글(HWP) 문서 포맷 내부에는 암호 설정 기능을 이용한 취약점이 적용돼 있다”며 “통신 시 사용하는 고유의 문자열이 기존 김수키 조직이 사용한 것과 정확히 일치한다”고 설명했다.
김수키는 지난 2014년 한국수력원자력을 해킹한 배후로 지목되는 북한 해킹 조직이며 이달 초에는 통일부 정세분석총괄과를 사칭해 APT 공격을 시도한 바 있다.
암호화폐의 특성상 거래내역을 숨기거나 자금 세탁이 용이한 만큼 전방위적인 압박으로 자금난에 시달리는 북한이 암호화폐를 대북제재 회피 수단으로 삼고 거래소를 공격했을 가능성이 있다.
실제, 유엔 보고서에 따르면 북한은 해킹부대 ‘라자루스’를 운영하며 2017년 2월부터 지난해 9월까지 한국과 일본을 중심으로 암호화폐 거래소 14곳을 공격했으며 피해액은 5억 7100만 달러(한화 약 6492억 2700만 원)에 이르는 것으로 나타났다.
