해킹 사건을 수사하는 현직 경찰의 신분증을 도용한 북한의 해킹 공격이 포착돼 주의가 요구된다.
국내 보안기업 ‘이스트시큐리티’는 17일 보도자료를 통해 “이번 공격은 00 경찰청에서 근무하는 첨단안보수사계 수사관처럼 사칭했다”며 “얼굴과 실명 등이 담긴 공무원증 PDF 문서로 위장한 해킹 공격”이라고 밝혔다.
실제 해커가 사용한 문서에는 공무원증 QR 서식에 사진, 이름, 소속, 직급, 생년월일, 연락처 등이 기재돼 있다. 해킹 사건을 담당하는 실제 경찰의 신분증을 보여줘 공격 대상자의 의심을 피하려는 전략인 셈이다.
경찰의 신분증을 도용한 해킹 공격은 지난 2017년에도 발생한 바 있다. 국내 모 비트코인 거래소 관계자를 타깃으로 회원 가입 조회 협조 요청을 위장한 공격에 이 같은 방식을
당시 공격에는 “비트코인 거래내역.xls” 파일명의 악성 코드와 신분증 PDF 사본이 함께 사용됐고, 수사당국의 대대적인 조사 결과 북한 해킹조직 소행으로 결론내려진 바 있다.
이스트시큐리티 시큐리티대응센터(이하 ESRC)는 이번 해킹 공격에 사용된 웹 서버 명령어가 지난 2월과 5월에 각각 보고된 유엔인권사무소, 민주평화통일자문회 사칭 공격에 사용된 명령어와 패턴이 일치한다고 설명했다.
앞선 공격 모두 배후에 북한 해킹조직이 있었다는 점에서 이번 경찰 사칭 해킹 공격 역시 북한의 소행으로 추정해볼 수 있다는 이야기다.
실제 ESRC의 분석 결과 이번 공격은 북한 정찰총국 연계 해킹 조직의 소행으로 나타났다. 공격에 사용된 명령제어(C2) 인프라 및 파워셸(Powershell) 코드 유사도, 주요 침해 지표(IoC)가 상당히 유사하다는 게 ESRC의 설명이다.
이스트시큐리티 ESRC 관계자는 “북한의 사이버 안보 위협은 대한민국 현직 경찰관의 신분을 도용해 해킹 대상자를 물색하고 과감하게 접근하는 시도까지 할 정도로 위험 수위가 높다”며 “무엇도 신뢰하지 않는다는 전제의 제로 트러스트(Zero Trust) 사이버 보안 모델 개념처럼 항상 의심하고 경각심과 긴장을 높여야 할 때”라고 주의를 당부했다.
제로 트러스트 사이버 보안 모델은 보안 시스템을 통과해서 시스템에 접속한 사용자나 단말기라 할지라도 의심해야 한다는 것을 기본 전제로 하고 있다. 모든 사용자와 단말기가 보안 위협을 줄 우려가 있다고 가정하고 철저한 검증 후 각종 권한을 부여하는 것이다.
한편, 이번 해킹 공격에 등장한 현직 경찰은 실제 지난달 해킹 피해 의심자들에게 문서를 보낸 것으로 파악됐다.
실제 지난달 민간 대북방송 ‘국민통일방송’의 한 직원은 해당 경찰로부터 해킹 피해가 의심된다면서 이메일을 받았다. 분석 결과 해당 메일 속 첨부파일은 모두 정상으로, 실제 경찰이 업무 협조 요청 이메일을 보낸 것으로 확인됐다.
이에 경찰의 협조 요청을 받은 사람 가운데 이미 해커의 공격에 노출돼 있던 이로부터 파일이 유출됐을 가능성이 제기된다. 해커가 이미 장악한 컴퓨터에서 공무원증 파일 등 자료를 입수해 이번 공격에 사용한 것으로 보인다.
이 때문에 실제 해당 경찰과 과거 연락을 주고받은 사람들이 해킹 피해에 노출될 가능성이 크다는 점에서 각별한 주의가 요구된다. 발신자 주소를 세심히 살펴보고 이메일 발송 여부를 당사자에게 직접 확인하는 식으로 보안 사고에 유의할 필요가 있다.
