북한과 관련한 업무를 하는 사람들에게 해커들의 APT(지능형지속위협) 공격은 어제오늘 일이 아니다. 특정기관, 단체, 기업 등을 대상으로 지속적인 공격을 시도하는 APT 공격은 정보가 유출되거나 파괴 등의 목표 달성 시까지 지속된다. 해커가 공격에 성공할 때까지 시달려야 한다는 이야기다. 늘 해커의 공격에 노출되어 있다 보니 업무상 연락이나 지인이 보낸 이메일마저 의심스럽게 바라보게 된다.
그러던 차에 해커의 피싱(phishing)으로 의심되는 이메일을 수신했다. 박상학 자유북한운동연합 대표가 데일리NK에 방송 출연을 하고 싶다는 제안을 해온 것이다. 본지는 방송과 관련된 일을 하고 있지 않기 때문에 의심이 들었다. 해당 이메일을 전문가에게 분석을 의뢰해보니 악성 파일이나 코드는 없지만 피싱 메일로 의심된다는 의견이었다.
| 수비수에서 공격수로…해커를 한번 속여보자 |
수신한 메일을 살펴보니 박 대표 실제 이메일 주소 중 ‘j’가 ‘i’로 바뀌어 있었다. 해커들이 이메일 주소 중 한두 글자를 비슷한 글자로 바꿔 속이는 전형적인 수법이다. 박 대표에게 전화로 확인해본 결과 이메일을 발송하지 않았다고 했다.
해커는 박 대표를 사칭하며 “지난 2.9일 스캇 버스비 국무부 부차관보와의 면담과 관련하여 방송에 출연할 수 있을까요? 가능하시다면 저에게 연락주시기 바랍니다”고 말했다. 첨부파일은 없었다.
이는 처음부터 첨부파일을 포함하면 피싱으로 의심받을 것을 염려, 사전 작업용 성격의 이메일을 보낸 것이다. 이 메일을 통해 공격 대상자의 신뢰를 확보한 후 다음에 발송하는 이메일에 악성 파일을 첨부해 보내려는 전략이다.
이런 이메일들의 특징은 ‘연락주시기 바랍니다’ ‘답변 기다리겠습니다’ 등 회신을 요구하는 문구가 들어가 있다는 점이다.
실제 답장을 했을 때 어떤 방식으로 후속 공격을 하는지 파악하기 위해 해커에게 답장을 보내봤다. 항상 공격만 받던 수비수가 포지션을 바꿔 공격수로서 해커를 속이는 입장이 됐다.
| 답장을 기다린 해커…구글 계정 탈취 시도 |
해커에게 구체적인 면담 내용을 알려달라는 이메일을 보낸 지 두 시간 만에 답장이 왔다.
메일에는 예상대로 첨부파일이 있었다. 그런데 문서가 구글 문서 형식을 취하고 있었다. 문서 위에 마우스를 올려놓으니 연결 링크가 구글이 아닌 국내 호스팅 업체로 나타났다. 실제 구글 드라이에서 공유된 문서가 아니었던 것이다.
전문가에게 이메일 분석을 의뢰한 결과 구글 계정을 탈취하기 위한 수법으로 나타났다. 구글 드라이브에서 바로 공유한 것처럼 속이고 계정을 탈취하려는 전략이다.
문종현 이스트시큐리티 시큐리티대응센터(ESRC) 센터장은 “해당 서버는 특정 정부의 지원을 받는 해킹 조직 탈륨(Thallium)이 사용하는 곳이다”며 “특정인을 노린 스피어피싱(Spear Phishing)이다”고 말했다.
탈륨은 지난 2019년 미국 마이크로소프트사(社)가 버지니아주 연방법원에 고소한 북한 해킹 조직이다.
해커에게 다시 사내(社內) 보안 문제로 인해 접속되지 않는다면서 드라이브를 통한 공유가 아닌 문서 파일로 전달해줄 것으로 요청했다.
| 당황한 해커… “어떤 보안 프로그램 쓰시나요? 나는 알약 쓰는데” |
해커는 요청 메일을 보낸 지 하루 만에 ‘열람에 지장을 주어 죄송합니다’면서 답장을 보내왔다. 이번에는 MS워드 파일이 첨부돼 있었다. 단순한 질문지 파일이 대용량 파일에 첨부돼 왔다. 파일 용량이 240KB로 문서 파일치고는 크지만, 대용량파일에 첨부될 정도는 아니다. 해커가 사용한 ‘다음’ 메일은 25MB가 넘으면 대용량 파일로 첨부한다. 단순 질문지 문서 파일 용량이 100KB를 넘는 것도 악성 파일로 의심하기 충분한 지점이다.
전문가에게 분석을 의뢰한 결과 역시 악성 파일로 나타났다.
바로 ‘알약’ 프로그램의 업데이트를 진행하고 이번에는 백신이 악성 파일로 감지해 열리지 않는다며 확인을 요청했다. 그러면서 새로운 유형의 악성 파일을 확인하기 위해 한글 문서로 보내 달라는 요구도 함께했다.
또 하루 만에 답장이 왔다. 해커는 거의 속아 넘어갔다고 생각하고 이메일을 기다리는 사람처럼 대응이 빨랐다.
해커는 이메일에서 “대표님의 연락을 받고 문서를 검사해보았는데 바이러스로 차단되지 않는다”며 “저는 알약 공개용을 사용 중인데 국장님이 사용하시는 보안프로그램을 공유해주세요”라고 말했다. 보안프로그램에 잡히지 않는 악성파일을 보냈으나 차단됐다고 해 당황한 듯한 모습이다. 이메일에서 처음 대표님이라고 이야기하고 뒷부분에는 국장님이라고 말한 점도 해커의 당혹스러움을 짐작할 수 있는 부분이다.
해커는 자신이 사용하는 보안 프로그램에서는 바이러스로 차단되지 않는다면서 새로운 악성 파일을 보내지는 않고 이전에 보냈던 파일을 다시 보냈다.
| 조급한 해커… “시간이 많이 흘렀는데 빨리 처리해주세요” |
해당 악성 파일의 코드가 스마트폰에서는 작동하지 않는다는 전문가의 의견을 듣고 이번에는 스마트폰에서 열어보니 글자가 깨져서 나온다고 해커에게 이메일을 보내봤다.
역시 답장은 하루 만에 왔다.
해커는 이메일에서 “어제 보낸 문서 확인해보았는데 글자가 깨지는 현상은 없었습니다”며 “국장님의 스마트폰에 문제가 있는 것 같은데 pc에서는 정확히 나옵니다”고 말했다.
그러면서 “전에 드라이브에 공유해드린 한글 파일도 스마트폰에서 깨지는지요? 시간이 많이 흘렀는데 가능하면 빨리 처리해주시기 바랍니다”고 재촉했다.
해커는 걸릴 듯 걸리지 않는 물고기를 바라보며 애태우는 낚시꾼과 같아 보였다.
조바심을 내는 해커에게 다시 한번 한글 문서 파일을 보내 달라고 요청했다.
| 강수를 두는 해커… “만나자” |
해커는 이번에는 한글 문서 파일을 보내왔다.
해커는 이메일에서 “질문지 한글로 작성하여 다시 보냅니다. 또 문제가 있으시다면 알려주시기 바랍니다. 그러면 체계를 업데이트하겠습니다”고 말했다.
자신이 보낸 파일에 대해서 계속해서 문제를 제기하는 것에 대한 불만과 답답함이 묻어 있는 뉘앙스다.
그런데 해커가 이번에 보낸 한글 문서는 파일이 손상 돼 실제로 열리지 않았다. 파일이 열리지 않고 시간이 지연되고 있어 다음날 전화를 하겠다는 답장을 보냈다.
이에 해커는 시간이 너무 지났다면서 만나자고 제안을 해왔다. 공격대상자가 자신을 믿지 못하자 만나자는 나름의 강수를 던진 것이다.
여기에 신종 코로나바이러스 감염증(코로나19)으로 인해 만남은 어렵고 전화를 하겠다고 답장을 하면서 다시 한번 파일을 요구했다. 그러나 이후로 해커에게 답장이 오지 않았다.
공격 대상자가 속지 않아 포기한 것인지 자신이 속고 있다는 점을 눈치챘는지는 정확하게 알 수 없다. 그러나 일 주일여간 이메일을 주고받으면서 피싱 메일을 받는 사람이 얼마나 화가 나는지는 느꼈을 것으로 생각한다.
그런데 해커는 처음 방송 요청을 한 이메일을 본지의 대표 메일로 다시 보내왔다.
대표 메일의 관리자는 일주일 동안 자신과 메일을 주고받은 사람과 다를 것으로 생각했기 때문으로 보인다.
다시 한번 해커를 속이려 이메일을 보냈지만, 답장은 오지 않았다.
