앵커: 북한 연루 해킹 조직이 사회관계망서비스, 즉 SNS를 통해 친분을 쌓은 후 악성코드가 담긴 허위 문서를 보내는 해킹 활동을 지속하고 있어 우려를 낳고 있습니다. 김소영 기자가 보도합니다.
최근 북한 인권 관련 단체와 언론매체 관계자를 대상으로 북한 관련 내용이 담긴 문서로 위장한 악성 파일을 전자우편(이메일)으로 보내 개인 정보를 탈취하려는 해킹 시도가 포착됐습니다.
7일 한국의 사이버보안업체 '이스트시큐리티'는 해킹 수법과 악성 파일에 사용된 문자열 등을 분석한 결과 북한 연계 해킹 조직으로 알려진 '금성121'의 새로운 APT 공격이 발견됐다며 각별한 주의를 당부했습니다.
지능형 지속 위협(Advanced Persistent Threat)을 일컫는 APT 공격은 개인정보 유출을 목적으로 특정 사이트나 개인을 대상으로 장기간에 걸쳐 공격하는 것을 말합니다.
'금성121'의 이번 공격은 곧바로 이메일을 발송한 것이 아니라, 사전에 인터넷 사회적연결망 SNS를 통해 공격 대상에 접근해 친분을 쌓은 뒤 악성 파일을 전달하는 치밀함을 보였습니다.
공격자는 특정 인물의 SNS 계정을 해킹한 후, 친구 관계로 연결된 지인에게 연락하거나 해킹당한 계정 주인인 것처럼 가장해 다른 추가 공격대상 물색에 나섰습니다.
이제까지 확인된 공격 시도를 살펴보면 페이스북이나 링크드인과 같은 SNS를 통해 북한 인권단체, 언론매체 기자들에게 접근했습니다.
최근 페이스북 계정 해킹 피해를 입은 북한 관련 언론매체의 전직 기자인 강모씨는 7일 자신의 인스타그램에 해킹 소식을 알리면서 자신으로 위장한 허위 계정을 통해 지인이나 언론사 기자들에게 메시지를 보내고 있는 것으로 파악된다며 주의를 당부했습니다.
실제로 강씨 이름과 사진으로 만들어진 또 다른 SNS 링크드인 계정을 통해 자유아시아방송(RFA) 기자에게 친구 연결을 요청한 후 메시지를 보낸 정황도 확인됐습니다.
이 밖에 한국의 북한 인권단체 대표에게 악성코드가 담긴 북한 정세 관련 문서를 이메일로 전달한 사례도 있습니다.
첨부 문서 파일을 열고, 수신자가 콘텐츠 사용을 허용하면 해킹 위협에 노출됩니다.
전문가들은 해커들이 공격 대상자에게 평소 비슷한 관심사에 대한 대화를 시도하면서 경계심을 낮추고 친분을 쌓은 후 악성코드를 전송하는 것으로 분석했습니다.
북한 정보통신전문 사이트 '노스코리아테크'의 마틴 윌리엄스 대표는 7일 자유아시아방송(RFA에 해커들이 공격 대상자의 관심사를 이용한 이메일 피싱 공격을 하기 때문에 자신도 모르는 사이에 피해에 노출되기 쉽다고 지적했습니다
윌리엄스 대표: 이는 사람들이 열어보고 싶은 내용을 보내 공격하는 전형적인 해킹 방식입니다.
윌리엄스 대표는 그러면서 발신자 이메일이 정부기관이나 기관의 공식 이메일과 흡사하고, 문서 내용 또한 쉽게 구별이 어려워 발신자 본인에게 직접 연락을 취해 확인하는 것이 중요하다고 말했습니다.
기자 김소영, 에디터 양성원, 웹팀 김상일