북한 추정 해킹 조직 ‘금성121’이 탈북민과 북한 관련 활동가들을 대상으로 한 모바일 지능형지속공격(APT)을 시도한 것으로 전해졌다. 탈북민 지원 애플리케이션(앱)으로 위장해 설치를 유도하는 등 수법이 갈수록 교묘해지고 있어 주의가 요구된다.
국내 보안 기업 이스트시큐리티(ESRC)는 6일 “지난 6월부터 탈북자와 대북 단체, 외교, 안보, 통일 분야 관련자 등을 대상으로 지속해서 수행되었던 모바일 APT공격이 다시 포착됐다”며 “이번 공격은 특정 정부의 후원은 받는 것으로 알려진 해킹 조직 ‘금성121(Geumseong121)’의 소행으로 추정된다”고 밝혔다.
특정 정부의 지원을 받는 해킹조직은 일반적으로 중국, 러시아, 북한 등을 가르킨다. 금성121은 공격 IP주소 중 일부가 평양시 류경동으로 확인된 바 있으며 탈북민과 북한 관련 단체 관계자들을 지속 노리고 있어 북한이 배후에 있는 것으로 추정되고 있다.
금성121은 이번 공격을 위해 가짜 웹사이트와 보안 메신저 앱을 제작하고 SNS를 통한 적극적으로 설치를 유도하는 등 단순히 악성 문서 파일을 이용하던 기존 모습과 달라진 모습을 보였다. 금성121의 공격 방식이 한 단계 진화한 형태를 보인다는 평가다.
ESRC가 밝힌 해커의 구체적인 공격방식은 이렇다.
공격자는 먼저 ‘북한이탈주민 모금 운동’이라는 워드프레스 기반 가짜 웹사이트를 제작했다. 그런 다음 안드로이드 앱 마켓인 구글플레이에 자체 제작한 정보 탈취용 메신저 앱 2개를 업로드했다.
이후 공격자는 웹사이트에 탈북민들이 생활상 문제를 공유하거나 지원과 도움을 받을 수 있다고 안내하며 가짜 모바일 메신저 앱 ‘X helpers’ 설치를 유도했다. 또한 해커는 이 앱과 별도로 ‘쓰리마(Threema)’, ‘위커(Wickr)’ 등 실제 존재하는 보안 메신저도 유포했다. 해당 메신저들은 해커에 의해 조작된 악성 앱으로 설치 시 사용자 정보가 모두 탈취된다.
하나의 앱으로만 공격하는 것이 아닌 별도의 이중, 삼중의 덫을 두고 공격한 것으로, 해커가 공격 성공률을 높이기 위해 사전에 치밀하게 준비한 것으로 보인다.
여기에 해커는 공격대상자들에게 이메일 발송, 페이스북, 유튜브를 통해서도 가짜 웹사이트 방문과 악성 앱 설치 유도하는 등 집요한 모습도 보였다.
이에 대해 문종현 ESRC 이사는 “이번 공격을 분석 및 추적한 결과, 페이스북과 유튜브와 같이 사용자가 친숙할 만한 채널을 이용해 탈북민과 대북 단체 관련자에게 악성 앱 설치를 유도했다”며 “공격자가 커뮤니티 기반의 탈북민 후원 모바일 앱을 제작하고 SNS 등을 통해 해당 앱 설치를 홍보하는 방식으로, 감시 대상이나 공격 타깃을 한 곳으로 모아 은밀하게 정보를 탈취하고 염탐하는 고도의 전략을 구사했다”고 설명했다.
한편, 스마트폰의 특성상 악성 앱이 설치될 경우 일반 PC보다 더 큰 피해로 이어질 우려가 있다.
스마트폰이 악성 앱에 감염되면 녹음기능, 위치추적을 통해 음성통화뿐만 아니라 일상적인 대화까지도 녹음될 가능성이 크며 실시간 이동 경로가 해커에게 전달될 수 있다. 스마트폰이 실시간 위치추적이 가능한 도청기가 전락하는 셈이다.
북한 추정 해커들은 최근 이런 점을 노리고 스마트폰을 목표로한 공격을 강화하고 있다.(▶관련기사 : 스마트폰 노리는 北해커… “감염 시 도청기·위치추적기로 전락”)
전문가들은 공식 마켓에서 다운받은 검증된 앱 이외에는 가급적 설치하지 않는 것이 해킹 피해를 예방할 수 있는 방법이라며 지인이 보낸 URL이나 파일이더라도 우선 주의 깊게 확인하고 가급적 전화 통화로 사실 여부를 확인하는 습관이 중요하다고 권고하고 있다.