본지 기자 사칭 SNS 계정 발견…북한 해킹조직 금성121 소행 추정

본지 기자를 사칭한 링크드인 계정. /사진=링크드인 캡처

소셜미디어(SNS)에서 본지 기자를 사칭한 계정이 15일 발견돼 주의가 요구된다.

과거 본지에서 근무했던 한 직원은 이날 전문 직업인 인맥 구축과 이를 통한 비즈니스, 구직에 특화된 SNS인 ‘링크드인(Linkedin)’에서 본지 기자로부터 초대 요청을 받았다. 일면식이 없었던 그는 누구인지 확인을 했고 기자를 사칭한 사람은 천연덕스럽게 ‘데일리NK 북한 담당 기자’라고 밝혔다.

이를 이상하게 여긴 전 직원이 본지에 확인 요청을 하면서 해당 계정의 정체가 탄로 났다.

SNS 프로필에 북한 관련 경력을 올려놓은 인물들을 중심으로 메시지나 링크를 보냈을 가능성이 있어 관련자들의 각별한 주의가 요구된다.

본지 기자를 사칭한 링크드인 계정. 과거 본지에서 근무했던 사람에게 메시지를 보냈다. /사진=독자제공

이런 해킹 공격 패턴은 공격자가 먼저 특정 인물의 SNS 계정을 해킹하거나 사칭해 대상을 선정한다. 이후 공격 대상에 SNS 메신저를 사용해 가벼운 안부 인사와 함께 평소 비슷한 관심사나 가십거리로 대화하며 친분을 확보한다. 어느 정도 친분이 쌓이게 되면 악성 파일이나 링크를 전달한다.

지인이 보낸 메시지, 이메일, 파일도 발송 여부를 확인하는 습관을 지니는 것이 보안 사고를 예방하는 데 효과적이다. 특히 지인이 보내온 파일이나 프로그램을 컴퓨터나 휴대전화에서 실행·설치하는 일은 자제하는 편이 좋다.

최근 이런 방식의 공격은 북한 해킹 그룹 ‘금성 121’에서 주로 사용하고 있다.

국내 보안 기업 이스트시큐리티는 지난 7일 “금성 121의 새로운 지능형 지속위협(APT) 공격이 발견됐다”면서 “이번 공격은 단순히 메일을 발송하는 것이 아니라 사전에 SNS를 통해 공격 대상과 친분을 만든 뒤 악성 파일을 전달하는 치밀한 수법이 사용됐다”고 밝힌 바 있다.

실제 북한 해킹조직은 최근까지 본지에서 근무했던 한 기자의 SNS 계정이 탈취해 연결된 친구들에게 대화를 시도하고 악성 파일을 유포하려 했다. 해커는 기자의 이름으로 링크드인 계정을 새로 만들어 다른 언론사 기자에게 메시지를 보낸 일도 있다.

본지 기자를 사칭한 공격 역시 ‘금성 121’의 소행일 가능성이 높다.

지난 7일 통일연구원 연구원을 사칭한 피싱메일이 본지 편집국장에게 왔다. /사진=데일리NK

또한, 북한 해커는 공신력 있는 기관 소식임을 강조해 사람들을 속이는 모습도 자주 보인다. 북한 관련 일을 하는 사람들에게는 통일부와 통일연구원 사칭이 많다.

지난 7일에는 최종학 통일연구원 연구원이 본지 편집국장에게 자신의 글을 살펴봐달라는 요청 이메일이 왔다.

메일에는 “제가 요즘 북한 관련 준비하는 글이 있습니다. 국장님께 한번 선보였으면 합니다. 살펴보시고 연락주시면, 관련 세부사항에 대해서 말씀나누고 싶습니다”는 내용이 담겼다. 이메일에는 특별한 악성코드나 악성 파일은 없었다. 전형적인 회신을 하면 악성 파일을 보내주는 공격방식이다.

해당 연구원에게 전화로 확인한 결과 해당 메일을 발송한 적이 없다는 답변을 들었다.

해커가 보내온 악성파일 실행화면. 정상파일처럼 보이지만 매크로 기능을 실해하면 악성코드가 작동된다. /사진=이스트시큐리티 시큐리티대응센터 제공

해커에게 파일을 보내 달라는 요청을 하자 20여 분만에 악성 파일이 담긴 이메일이 왔다. 워드(doc)의 매크로 기능을 이용한 악성 파일이었다. 전문가에게 분석을 맡긴 결과, 북한 해킹 조직 ‘탈륨’의 소행으로 나타났다.

지난 28일에는 KBS 작가를 사칭한 피싱 메일이 본지 이광백 대표에게 왔다. 이번 공격도 앞의 경우와 마찬가지로 최종학 통일연구원 연구원의 글을 살펴봐달라고 회신을 유도하는 내용이었다. 이메일에 답장했지만 회신은 아직 오지 않았다. 이메일을 보낸 작가는 실제 KBS에서 근무하는 사람은 아닌 것으로 나타났다. 그러나 링크드인에 해당작가의 계정이 있는 것으로 확인돼 주의가 요구된다.

KBS 작가를 사칭한 피싱메일. /사진=데일리NK