앵커 :북한 해커조직이 최근 세계 최대 암호화폐 거래소를 사칭해 이메일 해킹을 시도한 것으로 알려졌습니다. 김소영 기자가 보도합니다.
북한 해커조직 라자루스 그룹이 세계 최대 암호화폐 거래소 중 하나인 코인베이스(Coinbase)의 채용 담당자로 가장해 악성코드가 담긴 문서를 배포한 정황이 포착됐습니다.
미 보안업체 ‘멀웨어바이츠’는 지난 2월부터 라자루스의 활동을 관찰한 결과 코인베이스의 채용 공고처럼 꾸며진 첨부문서가 담긴 이메일이 보안 전문가 등 업계 종사자들에게 전송됐다고 밝혔습니다.
이들은 유명 구직 관련 인터넷 사이트인 링크드인(LinkedIn)을 통해 목표 대상에 접근해 이직이나 면접을 제안했던 것으로 드러났습니다.
이메일 첨부문서는 채용 안내문을 담은 파일처럼 보이지만 실제로는 악성코드를 담은 설치 파일로, 내려받는 순간 악성파일이 실행됩니다.
멀웨어바이츠 측에 따르면 이번 이메일 피싱 수법은 지난 1월 라자루스 그룹이미 군수업체록히드마틴사를 사칭해 문서를 유포한 방식과 매우 유사합니다.
해당 이메일은 '록히드마틴 취업기회', '록히드마틴 연봉' 등의 제목으로 해당 회사에 취업을 원하는 사람들을 대상으로 발송됐습니다.
이러한 이메일 피싱은 사람의 심리를 해킹에 이용한 것으로 신뢰할 만한 발신자로 가장해 공격 대상들이 관심을 가질 만한 내용의 이메일을 발송하기 때문에 특별한 주의를 기울이지 않으면 식별이 어렵습니다.
이런 가운데 이메일 기반 사이버 공격을 받은 디브릿지 파이낸스(deBridge Finance)의 해킹 배후에도 라자루스 그룹이 있다는 주장이 제기됐습니다.
이 업체는 비트코인과 같은 암호화폐의 바탕이 된 데이터 분산 처리 기술, 즉 블록체인의 데이터를 전송하는 운용업체입니다.
디브릿지 파이낸스의 공동 창업자인 알렉스 스미르노프는 지난 5일 사회관계망서비스 트위터에 다른 사람의 이메일을 도용한 해커들이 자사 직원들에게 악성코드가 깔린 이메일을 보낸 사건이 발생했다고 밝혔습니다.
이를 의심한 직원들에 의해 피싱 이메일임이 드러났지만 일부 직원들은 이미 이메일을 열어본 것으로 알려졌습니다.
회사 측은 그러나 이로 인한 심각한 피해는 발생하지 않았으며, 내부 보안 정책 강화에 힘쓰고 있다고 말했습니다.
이런 가운데 한국에서도 북한 해커들에 의한 이메일 해킹 공격이 포착됐습니다.
보안업체 이스트시큐리티는 8일 대북 관련 전문가나 기자들을 상대로 북한 관련 참고 문헌을 공유하는 것으로 위장한 북한 연계 해킹 공격이 발견됐다고 전했습니다.
이 해킹 역시 ‘북핵개발 역사와 북미관계 발전전망’ 파일을 공유하는 것처럼 해 공격 대상자들의 관심을 끌었고, 의심을 덜기 위해 파일 공유 초대자로 과거 국가정보원 고위직 인사 이름을 도용하기도 했습니다.
기자 김소영, 에디터 양성원, 웹팀 이경하