북한 해커들이 새로운 방식을 통해 해킹 공격에 나선 정황이 포착됐다. 특히 이번 공격은 민간 통역사들을 노리고 있어 관련자들의 각별한 주의와 대비가 요구된다.
이스트시큐리티는 26일 보도자료를 통해 “북한 연계 해킹 조직의 소행으로 분류된 새로운 사이버 위협 활동이 다수 포착됐다”며 “이번 공격은 동시 통역·번역 민간 전문가를 집중적으로 겨냥한 APT(지능형지속위협)이다”고 밝혔다.
북한 연계 사이버 위협 조직은 라자루스, 탈륨(김수키), 금성121 등이 있다. 이번 공격에 사용된 악성 문서에는 ‘zhaozhongcheng’ ‘Venus.H’ ‘Naeil_영문시작’이라는 아이디(ID)가 발견됐다. 해당 아이디들은 모두 과거 북한이 배후로 지목된 해킹 사건에서도 사용됐다.
이스트시큐리티는 “새로 발견된 공격 수법은 마치 국제 행사의 동시통역을 의뢰하는 것처럼 조작된 해킹 이메일을 다수의 통역 분야 종사자들에게 전송한 것이 특징이다”며 “국제회의 및 학술 세미나 통역 의뢰 내용처럼 현혹해 악성 링크를 열람하도록 유인했다”고 설명했다.
특히 이번 해킹에는 국내 포털사이트의 서비스로 위장한 새로운 공격 패턴이 발견됐다.
사이버 공격에 사용된 이메일을 살펴보면, 크게 3가지 유형이 확인됐는데 통역 언어(영어, 중국어, 러시아어)에 따라 본문 내용과 첨부파일 표현이 조금씩 다르게 적시됐다.
공격자는 행사 일정에 참여가 가능한지 여부를 먼저 묻고, 그 다음 첨부된 문서 내용 중 어느 부분의 통역을 맡아줄 수 있는지 회신을 요구하며 자연스럽게 첨부 문서 내용을 열람하도록 유도했다.
기존 북한 해커들은 워드(Word) 문서의 매크로 기능을 이용해 악성코드를 다운로드 하는 방식을 사용하거나 구글이나 네이버 로그인을 유도해 계정을 탈취했다.
그러나 이번에는 네이버의 ‘전자문서’ 서비스를 이용한 새로운 방식을 사용했다.
이스트시큐리티 시큐리티대응센터(ESRC)는 “첨부 파일을 클릭해도 문서는 전혀 받아지지 않고, 마치 중요한 ‘전자문서 인증용’ 보안 화면처럼 꾸며진 특정 웹 사이트를 보여준다”며 “이메일의 비밀번호를 입력해야 전자문서를 볼 수 있는 것처럼 현혹하고 있다”고 설명했다
ESRC는 “만약 이곳에 비밀번호를 입력하면 통역사 계정 정보가 외부로 은밀히 유출된다”며 “비밀번호가 입력되면 공격자는 피해자에게 추가 이메일을 따로 보내 답신이 늦어 죄송하다는 말과 함께, 통역에 응해주어 감사하지만, 코로나 급증으로 인해 행사가 미뤄졌다는 식으로 일정을 잠정 연기하고 대화를 마무리하는 치밀함을 보였다”고 전했다.
이 때문에 피해자는 해당 이메일과 문서를 정상적이라고 믿게 되고 자신의 비밀번호가 외부에 노출된 것을 인지하기 어렵게 된다.
한편, 해당 사이버 안보 위협 조직은 그동안 주로 외교·안보·국방·통일 및 대북 분야 종사자를 상대로 사이버 작전을 전개해 왔다. 이번처럼 국제 통역사를 집중적으로 공격한 경우는 이전까지 전혀 보고된 바 없었다.
ESRC는 “통역사를 집중적으로 겨냥한 표적 공격 사례는 매우 이례적이다”며 “특정 통역사 대상 공격 의도를 정확히 규명하기 위해 다각적 분석을 면밀히 진행 중이다”고 밝혔다.
문종현 ESRC 센터장은 “동시 통역사들이 외교·안보·국방·통일 분야 국제 콘퍼런스나 다양한 정부 행사에 직접 참여하는 경우도 있어, 북한 연계 위협 조직들이 이점을 노린 가능성과 주요 인물에 접근하기 위한 사전 초기 침투 과정일 수 있다”면서 “평소 보지 못했던 발신자나 뜬금없이 도착한 이메일은 항상 주의하는 것이 안전하다”고 당부했다.
