SNS 통해 연락 온 지인, 알고 보니 해커…지능화되는 北 해킹

최근 북한 정세와 안보 칼럼으로 위장한 악성 DOC 문서 화면. / 사진=이스트시큐리티 제공

북한 해킹조직으로 알려진 ‘금성121’이 소셜미디어(SNS)를 활용한 사이버 공격을 한 것으로 나타났다. 북한 해커의 공격이 갈수록 지능화, 다양화되고 있어 사용자들의 주의가 요구된다.

이스트시큐리티는 7일 보도자료를 통해 “금성121의 새로운 지능형 지속위협(APT) 공격이 발견됐다”며 “이번 공격은 단순히 메일을 발송하는 것이 아니라 사전에 SNS를 통해 공격 대상과 친분을 만든 뒤 악성 파일을 전달하는 치밀한 수법이 사용됐다”고 밝혔다.

공격자는 먼저 특정 인물의 SNS 계정을 해킹한 후, 친구 관계로 연결된 또 다른 사람을 물색해 추가 공격대상을 선정했다.

이후 공격대상에 SNS 메신저를 사용해 가벼운 안부 인사와 함께 평소 비슷한 관심사나 가십거리로 대화하며 경계심을 낮추고 친분을 확보했다.

그런 다음 자신이 작성한 최근 북한 정세와 관련된 칼럼에 대해 조언을 구하는 식으로 악성 DOC 문서 파일을 공격대상에 이메일로 전달하는 수법을 사용했다.

첨부된 문서 파일에는 악성 매크로(Macro) 명령이 삽입돼 있어, 메일 수신자가 [콘텐츠 사용]을 허용할 경우 해킹 위협에 노출된다.

특정인을 목표로 공격한 전형적인 스피어 피싱(Spear Phishing) 공격 기법에 SNS 활용이 가미된 모습이다.

실제 최근 북한 해킹조직은 한 탈북민의 SNS 계정이 탈취해 연결된 친구들에게 대화를 시도하고 악성 파일을 유포하려 한 바 있다.

한편 금성121은 안드로이드 스마트폰을 노리는 것으로 나타났다.

이스트시큐리티에 따르면 금성121은 안드로이드 기반 스마트폰 이용자를 노린 스미싱(Smishing) 공격까지 수행하고 있는데, 해커조직이 만든 악성 APK 앱이 설치되면 스마트폰에 저장된 주소록, 문자 메시지, 통화 내역, 위치 정보, 녹음, 사진 파일 등 개인정보가 대거 유출된다.

문종현 이스트시큐리티 ESRC센터장은 “금성121 조직은 특정 국회의원을 포함해 유명인사의 휴대전화를 해킹해 개인 정보를 탈취한 바 있다”며 “대북 전문 분야 단체의 홈페이지를 침해하거나 가짜 페이스북 계정 등을 만들어 북한 분야 종사자들을 지속해서 노리고 있다”고 말했다.

그러면서 문 센터장은 “특히 모바일이나 이메일로 마치 지인이나 업계 전문가 인척 연락하는 경우가 많다”며 “APK, DOC 문서 등을 보내올 경우 반드시 발신자와 직접 통화해 사실 여부를 확인하고 열람하는 것이 안전하다”고 당부했다.