北 추정 해커 ‘자문요청’ ‘참고 자료’ 미끼로 대대적 사이버공격

ESRC "전문가 사칭해 설문·심사 의뢰로 접근...다양한 사이버 외화벌이 활동"

북한 피싱
특정 연구원 및 단체, 기관 등을 사칭해 해킹 공격을 수행하는 다양한 사례. /사진=이스트시큐리티

최근 들어 외교·안보·국방 및 대북 분야에 종사하는 전문가들을 상대로 북한 추정 해커들의 사이버 공격이 대대적으로 포착된 것으로 전해졌다. 특히 이들은 대상자의 특성을 미리 파악하고 악성코드가 삽입된 ‘자문요청’이나 ‘참고 자료’ 등을 송부, 정보를 탈취하는 방식을 사용하고 있는 것으로 전해졌다.

통합보안 기업 이스트시큐리티는 20일 보도자료를 통해 “외교·안보·국방 및 대북 분야 종사자 대상으로 한 북한 추정 해킹 조직의 사이버 안보 위협이 가중되고 있다”면서 “각별한 주의가 요구된다”고 밝혔다.

이스트시큐리티는 “해당 피싱 공격은 보통 이메일로 시작된다”며 “정치외교 전공 대학교수나 싱크탱크 연구원, 대북 분야 협회나 단체에 소속된 인물, 평화통일 유관 업무 공무원 등 분야별 전문가로 다양하게 속여 접근하고 있다”고 덧붙였다.

공신력 있는 기관 또는 단체에 소속된 관계자가 발송한 것처럼 이메일을 조작하는 사회공학적 공격기법을 사용하고 있다는 뜻이다. 사회공학적 공격기법은 컴퓨터 시스템이 아닌 사람의 취약점을 공략하여 원하는 정보를 얻는 방식을 일컫는다.

또한 이메일의 첨부파일 다운로드 영역을 조작해, 클릭 시 피싱 사이트로 연결되도록 만드는 방식도 포착됐다. 해커가 만든 피싱 사이트는 ‘대용량 파일 다운로드’ 주소처럼 교묘하게 꾸며졌으며 암호를 입력하거나 ‘다운로드’ 링크를 클릭하도록 유도했다.

이스트시큐리티 시큐리티 대응센터(ESRC)에 따르면, 이용자가 만약 ‘다운로드’ URL을 클릭하면 암호 입력을 요구하는 가짜 로그인 창이 나타난다. 이곳에 계정 정보를 입력하면 관련 내용이 탈취당한다.

‘다운로드’ URL을 클릭할 때 실제 악성 코드가 삽입된 MS Word DOC 문서 파일 등이 받아지는 때도 있다. 공격자가 공격 대상자를 분석해 공격자 의도에 따라 공격 방법을 달리하는 것으로 보인다.

ESRC는 “특정 연구원의 질문지 답변에 따른 소정의 사례비 지급 명목으로 DOC 서식 파일을 보내 열람을 유도하는 형태의 공격도 진행 중이다”며 “악성 문서는 12월 15일까지 서식을 작성하도록 현혹했으며, 30만 원의 사례비로 유인해 해킹을 시도했다”고 밝혔다.

ESRC는 “처음 악성 DOC 문서 파일이 실행되면, ‘콘텐츠 불러오기 오류 발생’라는 가짜 메시지를 보여준다”며 “MS오피스의 보안 설정으로 악성 매크로가 차단된 것을 우회하기 위해 ‘콘텐츠 사용’ 버튼 클릭을 유도하는 것”이라고 설명했다.

ESRC는 “이때 ‘콘텐츠 사용’ 버튼을 누르면 악성 명령이 작동된다”며 “절대로 이런 화면에 현혹돼 버튼을 누르지 않아야 한다”고 덧붙였다.

그러면서 단체는 “유사한 위협 사례는 수년 전부터 연말까지 꾸준히 이어져 오고 있다”며 “이들은 해킹 기반 기밀정보, 비트코인 탈취는 물론, 프로그램 개발 대행 등 다양한 사이버 외화벌이 활동을 수행했다”고 설명했다.

사례비 파일로 위장된 악성 DOC 워드 문서가 실행된 화면
사례비 파일로 위장된 악성 DOC 워드 문서가 실행된 화면. /사진=이스트시큐리티

해킹 공격의 배후를 밝혀내기 위해서는 공격자의 전략, 기술, 공격 과정 등을 오랜 기간 추적하고 자료를 축적해야 한다. 다만 최근 일련의 공격의 사례들은 분석한 결과 과거 북한 해커들이 사용한 공격 방식과 일치한다고 한다.

문종현 ESRC 이사는 “북한이 배후로 지목된 (이번) 공격은 연말에도 계속 전개 중이며, 사이버 안보 위협 수위와 공세는 갈수록 거세지는 추세다”며 “특히, 최근 공격에는 한국의 특정 웹 서버들이 거점으로 악용되고 있으며, 국내 웹 게시판을 쓰는 공통점이 보여 신규 취약점 악용 여부 등 추가 조사를 진행 중이다”라고 주의를 당부했다.

한편 이번 일련의 사이버 공격은 지인, 대형 포털, 공공기관, 수사기관으로 속여 개인의 계정 정보를 빼앗는 방식이라고 한다. 이 때문에 이메일을 열람하거나 첨부파일을 열어보기 전 발신자에게 발송 여부를 직접 확인하는 편이 안전하다고 할 수 있다.

여기에 이메일 발신자 주소 조작의 경우 자세히 들여다보면 쉽게 알아차릴 수 있으니 주의를 기울이면 보안 사고의 위험에서 피할 수 있다고 전문가들은 조언하고 있다.

이스트시큐리티는 “이메일 문구로 해킹을 시도하지만, 발견된 여러 피싱 사이트 화면들이 대체로 비슷하다”면서 “세심한 관찰을 기울여야 유사 위협을 예방하는 데 조금이나마 도움이 될 수 있다”고 당부했다.