정책연구원 사칭 해킹 주의보, 대북 종사자 개인정보 탈취 시도

김동호 기자 승인 2020.05.10 15:50 | 최종 수정 2020.09.09 17:12 의견 0
통일정책연구원을 사칭한 가짜 이메일로 대북 업무 종사자의 개인정보를 빼내는 해킹조직 '금성121'이 보낸 메일 (자료=이글루시큐리티)

[디지털머니=김동호 기자] 통일 정책 연구원을 사칭해서 대북 종사자의 개인정보를 탈취하려는 사이버 공격이 등장해 주의가 요구된다. 이른바 '미인계'를 활용했다. 이들은 한달 넘게 일상적인 대화만 나누면서 의심을 피하는 치밀함을 보였다.

보안 전문 기업 이스트시큐리티는 해킹조직 ‘금성 121’ 해커들이 새로운 공격 시나리오로 APT(지능형지속위협) 공격을 시도한 정황을 포착했다고 10일 밝혔다. 배후에는 북한 정부가 있는 것으로 의심된다고 덧붙였다.

금성121 해커들은 통일정책 분야 연구원으로 위장해 1차적으로 공격 대상의 개인정보를 수집한다. 기존 사이버 공격과 달리 악성파일이나 URL링크 등을 배포하지 않은 채 간단한 인사만 나눈다. 일정 기간을 대화만 나누면서 친분을 쌓은 후 상대방과 성별이 다른 가짜 프로필을 만들어 해킹을 시도한다.

이들은 대북 업무에 종사하는 우리 측 주요 인사를 선별해 공격을 시도한다. 자신들을 통일 정책 기관에 새롭게 부임한 여성 선임연구원이라 사칭한 뒤 소개 이메일을 보낸다.

소개 메일에는 평범한 인물 소개와 간단한 인사 내용만 담아 해킹 의심을 피한다. 대신 이메일을 수신한 상대방에게 확인을 위한 답장을 요구한다. 답장을 보낸 사람들에게는 연락 목적의 전화번호 등 개인정보를 요구한다. 이후 가상의 인물로 다시 위장해 카카오톡으로 은밀한 접근을 시도한다. 공격 대상자의 성별이 남성인 경우 소위 ‘미인계’ 수법으로 사이버 공격을 시도하는 것.

카카오톡으로 연결고리를 만든 해커는 최소 1개월 이상을 일상적인 대화만 나눈다. 정상적인 문서 파일도 수차례 공유하면서 의심을 최소화한다. 자신이 보낸 파일을 상대방이 온전히 믿을 때까지 치밀한 과정을 거치는 것이다. 친밀감을 높인 해커는 악성 자료를 보내면서 본격적인 해킹을 시도한다.

이글루시큐리티 관계자는 “금성121은 PC뿐 아니라 스마트폰을 겨냥해 다양한 APT 공격을 시도하는 조직”이라며 “중장기 계획을 세워 맞춤형 공격을 시도하는 조직”이라고 말했다.

이어 “지난 3월에는 외교·통일·안보 분야 종사자와 대북 관련 단체장, 탈북민 등을 겨냥한 공격을 확대했다”며 “웹 서버를 직접 디자인하는 것은 물론 스마트폰의 구글 플레이나 공식 애플리캐이션(응용 프로그램) 마켓, 유튜브 등을 공격 대상으로 삼는 대담한 조직”이라고 덧붙였다.

이글루시큐리티는 모바일 메신저에서 모르는 사림이 대화를 걸어 올 경우 함부로 친구 관계를 맺어서는 안된다고 강조했다. 반드시 신분을 철저하게 확인해 보안 의식을 생활화할 것을 당부했다.

금성121은 라자루스, 김수키, 코니와 함께 국내를 공격하는 대표 해킹조직이다. 지난해에는 통일부 기자단과 여의도연구원을 사이버 공격했다. 지난 2월에는 태영호 전 영국 주재 북한대사관 공사를 해킹한 배후로 거론되고 있다.

<저작권자> 디지털 세상을 읽는 미디어 ⓒ디지털머니 | 재배포할 때에는 출처를 표기해 주세요.