앵커 : 북한 해커들이 사이버 전문가를 사칭하고 사회관계망 서비스에서 친밀감을 쌓은 뒤 보안 전문가들을 대상으로 해킹을 시도하고 있는 것으로 나타났습니다.박재우 기자가 보도합니다.
사회관계망서비스에서 최근 사이버 보안 연구원들을 겨냥하는 북한 해킹 조직의 사칭 계정들이 발견되고 있다고 세계 최대 인터넷 검색 업체 구글 위협분석그룹(TAG)이 7일 경고했습니다.
특히 위협분석그룹은 사회관계망 서비스 X(옛 트위터)에서 북한 해커로 추정되는 계정을 공개했는데, 자신을 보안 연구원이자 개발자라고 소개한‘폴’이라는 이름의 계정이었습니다.
자유아시아방송이 찾은 X 계정 게시글에 따르면 이 해커는 지난해 12월“새로운 기능과 버그 수정을 포함한 프로젝트의 첫 번째 대규모 업그레이드인‘GetSymbol v2.0.0’의 출시를 발표하게 되어 기쁩니다”라고 적시했습니다. (I'm glad to announce the release of GetSymbol v2.0.0, the first major upgrade of the project including with new features and bug fixes.)
현재는 이 게시글과 관련 계정은 X와 다른 사회관계망서비스로부터 모두 삭제된 상황입니다.
위협분석그룹은 “북한의 위협 행위자들은 X와 같은 소셜 미디어 사이트를 사용하여 그들의 목표물과 친밀감을 쌓았다"라며 "한 사례에서, 그들은 보안 연구원과 상호 관심이 있는 주제에 대해 협력을 시도하면서, 수개월 간의 대화를 이어갔다"고 설명했습니다.
그러면서 “X를 통한 초기 접촉 후, 그들은 시그널, 왓츠앱 또는 와이어와 같은 암호화된 메시지 앱으로 이동했다”라며“일단 목표한 연구원과 관계가 발전되면, 이 행위자들은 최소한 제로데이 취약점(보안 취약점이 발견된 뒤 이를 해결할 패치가 나오기 전 상황)을 포함하는 악성파일이 담긴 파일을 보냈다”고 전했습니다.
이 행위자들은 공격에 성공하면 탈취한 정보를 스크린샷 형식으로 확보했는데, 이 공격에 사용된 코드는 북한 해킹 조직이 활용했던 코드와 일치한다고 설명했습니다.
사실상 북한 해커들도 보안 시스템을 다루는 데 숙련됐기 때문에 이런식으로 사이버상에서 보안 전문가들과 친분을 쌓기 쉬웠을 것으로 추정됩니다.
북한 김책공업종업대학교를 졸업하고 해외 북한 공관에서 IT인력으로 활동했던 탈북민 김모씨는 자유아시아방송(RFA)에 북한 해킹조직의 해킹에는 사회공학기법이 가장 중요하다고 말했습니다.
의심이 많거나 보안 경각심이 높은 대상자의 경우 신뢰를 먼저 구축한 뒤 공격을 진행하는 방식을 ‘사회공학기법’이라고 합니다.
[김 모씨] 해킹 공격이라는 것 자체가 한국의 보이스피싱이나 비슷한 것 같더라고요. 그러니까 어떻게든 프로그램들은 사실 만들어진 게 많거든요. 보이스피싱 범들이 스파이웨어를 개발하지는 않았을 거잖아요. 보이스피싱을 하는 사람들은 어떻게 하면 상대방이 클릭하게 할까를 이메일을 다 하신다든지 뭔가 말을 한국 사람처럼 해가지고 한다든지 이런 식으로 유도를 하는 게 사실은 제가 볼 때는 가장 중요한 키 포인트에요.
한편, 이날 FBI에 따르면 북한 해커가 온라인 도박사이트에서 약 4천 100만 달러의 가상화폐를 탈취했다고도 발표했습니다.
에디터 박정우, 웹팀 이경하