“카카옥페이 개인정보 처리 안내입니다”…알고 보니 北 해킹?

'금성121' 소행으로 밝혀져…시간차 두고 악성파일 유포하는 지능적 수법 보이기도

북한 해커가 카카오페이를 사칭한 피싱 공격을 진행했다. /사진=데일리NK

북한 연계 해킹 조직이 유명 메신저 프로그램을 통해 악성파일을 유포 중인 것으로 나타났다.

이상용 데일리NK 공동대표는 지난 17일 카카오톡 메신저를 통해 ‘카카옥페이’라는 발신자로부터 메시지를 받았다. 카카오사(社)의 간편결제 서비스인 ‘카카오페이’와 유사한 이름으로 설정하고 프로필 사진에도 카카오페이 연관 이미지를 넣어 가짜 계정임을 숨기려 했다.

현재 카카오톡 메신저에서는 사용자 이름을 ‘카카오페이’, ‘카카오 페이’, ‘Kakao pay’ 등으로 설정할 수 없게 돼 있다. 카카오사에서 사칭 피싱을 예방하기 위해 이를 금칙어로 해둔 것으로 보이는데, 이 때문에 공격자가 불가피하게 사용자명을 ‘카카옥페이’라고 설정한 것으로 파악된다.

공격자는 17일에 처음 메시지를 보내면서 별다른 악성파일을 유포하지 않고 이벤트와 서비스 이용에 대한 정보를 전달하면서 호기심을 유도했다. 곧바로 특정 파일을 건네는 경우 상대가 경계하면서 해킹을 의심할 수 있다는 점을 노린 전략이다.

실제 공격자는 다음날인 18일 본색을 드러냈다. 공격자는 이 대표에게 ‘개인정보 처리 방침’ 안내라면서 압축파일을 보냈다. 이에 본보가 해당 압축파일을 전문가에게 분석 의뢰한 결과, 악성코드가 심어진 파일로 나타났다.

문종현 이스트시큐리티 시큐리티대응센터장은 본보에 “해당 파일은 북한 해킹 조직 금성121의 소행”이라며 “악성코드가 숨겨져 있고 이것이 실행될 경우 사용자의 정보가 유출된다”고 말했다.

특히 문 센터장은 “이번 악성파일은 카카오톡 PC 버전을 노린 것으로 보인다”며 “스마트폰 환경에서는 작동되지 않는다”고 설명했다.

공격자가 보낸 압축파일을 해제하면 내부에 pif 확장자로 위장한 실행(exe) 파일이 있다. 해당 파일을 실행하면 악성코드와 함께 PDF 파일이 열린다. 정상적인 PDF 파일이 실행되기 때문에 사용자가 해킹에 노출됐다는 사실을 인지하지 못할 가능성이 있다.

공격자가 카카오톡 메시지로 보낸 악성파일을 실행하면 정상적인 PDF 파일이 열린다. 사진은 악성파일 실행 후 열리는 PDF파일 화면. /사진=이스트시큐리티 시큐리티대응센터 제공

이 악성파일을 열면 사용자의 눈에는 보이지 않는 백그라운드에서 악성코드가 작동해 특정 원드라이브(OneDrive) 클라우드로 접속해서 추가 명령을 대기 또는 시도한다. 그리고 미리 설정된 명령에 따라 탈취한 사용자 정보를 보안클라우드 스토리지인 피클라우드(pCloud) 서버로 전송한다.

문 센터장은 “SNS나 메신저를 통해 전송된 파일이나 단축 URL에 대해서는 각별한 주의가 필요하다”면서 “휴대전화나 이메일로 파일을 받는 경우 발신자와 직접 통화해 사실 여부를 확인하고 열람하는 것이 안전하다”고 강조했다.

한편 금성121은 북한과 연계된 조직으로, APT(지능형지속위협) 공격을 은밀히 수행하고 있다. 이들은 과거 실존하는 특정 인물의 이름과 프로필 사진을 무단 도용해 카카오톡 계정을 생성하고 해킹 공격을 시도한 바 있다.

최근 들어 더욱 다양한 방식으로 해킹 시도가 이뤄지고 있는 만큼 사용자들의 각별한 주의가 요구된다.