앵커 : 북한 해커들이 미 국무부 관련 금융기관을 사칭해 해킹을 시도한 것으로 드러났습니다. 지정은 기자가 보도합니다.
세계 최대 인터넷 검색 업체 구글 위협분석그룹(TAG)은 5일 홈페이지에 공개한 보고서에서, ‘김수키’ 또는 ‘탈륨’으로 잘 알려진 북한 해킹그룹 ‘APT43’이 지난해 말 미국의 ‘국무부신용조합’(State Department Federal Credit Union)을 사칭해 공격을 감행했다고 밝혔습니다.
국무부 신용조합이란 미국 국무부 직원이나 그 가족 등이 상호유대를 바탕으로 자금의 조성과 이용 등 공동이익을 추구하도록 하는 일종의 은행입니다.
북한 해커들은 이메일(전자우편) 등을 통해 피해자에게 링크(바로가기 주소)를 보냈고, 이 링크는 국무부신용조합이 보낸 것으로 위장한 PDF파일로 연결됐습니다.
PDF파일은 피해자의 구글 계정으로부터 의심스러운 로그인 기록이 확인됐다며 해당 파일에 나와있는 링크를 눌러 의심 활동을 확인하라고 경고했습니다.
보고서에 공개된 실제 사례에 따르면 해커들은 “당신의 (구글 이메일 서비스인) 지메일 계정이 현재 일본에서 사용되고 있다”며 “구글이 간혹 기기의 위치를 잘못 탐지할 때가 있지만 보안을 위해 당신의 지메일 활동을 확인해 달라”며 링크를 누르도록 유도했습니다.
피해자가 이 링크를 누르면, 정상적인 웹사이트처럼 보이지만 실제로는 북한 해커들이 제작한 피싱 페이지로 이동합니다.
북한 해커들은 피해자 개개인에 맞춰 PDF 파일을 제작해, 피해자가 들어가는 피싱 페이지에 이미 피해자의 이메일 주소가 입력돼 있도록 하는 치밀함을 보였습니다.
해커들은 컴퓨터 보안 프로그램인 안티바이러스가 파일 안에 있는 링크까지는 검사하지 않는다는 점을 악용해, 정상적인 PDF 파일에 악성 링크를 넣는 방식을 이용한 것입니다.
APT43은 일반적으로 이러한 수법을 통해 피해자가 피싱 페이지에 입력하는 비밀번호 등 계정 정보를 알아냈습니다.
즉 피해자는 정상적인 웹사이트에 비밀번호를 입력한다고 생각하지만, 사실 피싱 페이지를 통해 자신의 비밀번호가 북한 해커들에게 전달되는 것입니다.
보고서는 과거 APT43이 구글 이용자들의 계정을 보호하기 위한 서비스인 ‘보안 알림’을 위장해 공격을 감행했지만, 이 수법의 성공률이 점차 낮아지자 새로운 수법을 사용하기 시작한 것이라고 설명했습니다.
이외에도 APT43은 지금까지 다양한 수법을 이용해 공격 대상자를 피싱 페이지로 유인해 왔습니다.
보고서에 따르면 APT43은 보통 언론이나 싱크탱크(연구기관) 관계자로 위장해 북한 전문가들에게 이메일로 인터뷰나 정보를 요청하고, 인터뷰 질문지를 보기 위해서는 링크를 누르라고 요청했습니다.
피해자가 링크를 누르면 정상적인 로그인 화면으로 위장한 피싱 페이지로 이동합니다.
피해자가 피싱 페이지에 비밀번호를 입력하면 인터뷰 질문지가 공개되는데, 이 질문지는 기존에 보낸 이메일 내용을 바탕으로 만들어진 그럴듯한 질문이 담긴 정상적인 문서라고 보고서는 전했습니다. 즉 비밀번호가 노출된 후에도 피해자가 공격 사실을 의심하기 어렵게 만드는 것입니다.
또 APT43은 ‘브라우저 인더 브라우저’ (browser-in-the-browser) 형식의 피싱 페이지를 이용하기도 했습니다.
지난해 새롭게 발견된 해킹 수법인 ‘브라우저 인더 브라우저’는 정상적인 화면 안에 가짜 로그인 화면이 열리도록 하는 방식으로, 가짜 화면은 인터넷 주소(URL)와 로그인 입력창을 실제와 유사하게 구현했습니다.
이 또한 피해자가 정상적인 로그인 화면에서 비밀번호를 입력한다고 생각하도록 속이기 위한 방법입니다.
한편 보고서는 APT43이 공격 대상자들에게 이러한 악성 링크나 파일을 보내기 전 이들과 관계를 맺기 위해 며칠 혹은 몇 주에 걸쳐 이메일을 주고 받는 등 많은 시간과 노력을 들이고 있다고 설명했습니다.
실제 APT43은 한국의 언론사 기자를 위장해 북한 전문가에게 이메일로 인터뷰를 요청하고, 이 전문가에게 악성코드가 담긴 파일을 보내기 전 여러 차례 이메일을 주고 받은 사례도 확인됐다고 덧붙였습니다.
기자 지정은, 에디터 박정우, 웹팀 이경하