“국내 북한 관련 전문가 상대 정보 빼가려는 듯”
 |
| ▲ 북한발 신종 해커들 수법 |
카톡 창에서 모르는 이가 대화를 걸면 절대 조심하는 것이 좋겠다. 이스트시큐리티는 북한과 연계되는 것으로 추정되는 해커 그룹 '금성121'이 국내 북한 관련 업무 종사자를 대상으로 지능형지속위협(APT) 공격을 가한 정황을 발견했다고 8일 밝혔다.
이스트시큐리티는 하드웨어 및 소프트웨어 개발 등 응용소프트웨어 개발 및 공급업체로 알려져 있다. 이스트시큐리티에 따르면 이들은 대북 분야에서 활동하는 주요 인사를 고른 다음 자신을 통일 정책 분야의 기관에 새로 근무하게 된 여성 선임연구원으로 소개하는 메일을 보낸다.
메일을 주고받으며 공격 대상자의 전화번호를 확보하고 일정 기간이 지난 다음에는 가상의 새로운 인물로 위장해 카카오톡으로 접근을 시도한다. 그동안의 경우를 보면 공격 대상자가 남성이면 미모의 여성 사진과 이름으로 접근해왔다.
이들은 최소 1달 이상 일상적인 대화와 정상적인 사진·문서 파일 등을 여러 차례 공유하며 최대한 의심을 피하며 대화를 이어갔다. 어느 정도 친밀감을 높이고 상대가 안심했다고 생각하는 시점에 해커는 본색을 드러내고 위협요소가 포함된 자료를 전달하며 본격적인 해킹에 나선다.
문종현 이사는 "이 조직은 통일·대북 관계자를 노리는 대표적인 위협의 배후"라며 "모르는 사람이 대화를 시도해 올 경우 함부로 친구 관계를 맺지 않도록 하고, 반드시 별도의 신분 확인 절차와 보안 의식 생활화가 필요하다"고 밝혔다.
이스트시큐리티는 지난 달 27일에도 대북 해커 경계령을 내렸다. 이스트시큐리티는 27일 해킹 그룹 '라자루스'의 국내외 지능형 지속 위협(APT) 공격이 활발히 진행되고 있다며 주의를 당부했다. 최근 발견된 APT 공격 중 ▲ 블록체인 소프트웨어 개발 계약서 ▲ 한미관계와 외교안보 ▲ 항공우주기업 채용 관련 문서 ▲ 00광역시 코로나 바이러스 대응 ▲ 성착취물 유포사건 출석통지서 사칭 등의 배후에 라자루스가 있는 것으로 이스트시큐리티는 추정했다.
이 공격에 사용된 악성 DOC 문서는 'elite4print[.]com' 명령제어(C2) 서버를 동일하게 사용하고 있고, 라자루스의 소행으로 알려진 작년 10월 인도 국영 항공우주 방위 회사의 채용 관련 문건 위장 공격과도 비슷한 점이 있다.
북한과 연계된 것으로 알려진 라자루스는 한국과 미국 등을 대상으로 사이버 침투 작전과 함께 온라인 은행·비트코인 거래소 해킹 등을 통한 외화벌이를 조직적으로 수행하고 있다.
해킹 방지 전문가들은 의심이 나면 절대 클릭하지 않는 것을 수칙으로 삼아야 해커의 공격을 막아낼 수 있다며 호기심으로 잘못 대화를 시도하다가 큰 일로 번질 수 있음을 상기해야 할 것이라고 지적했다.
[ⓒ 데일리매거진. 무단전재-재배포 금지]
