국내 대북 관계자 대상 '미인계' 사이버 공격 주의
상태바
국내 대북 관계자 대상 '미인계' 사이버 공격 주의
  • 최형주 기자
  • 승인 2020.05.08 13:32
  • 댓글 0
이 기사를 공유합니다

이스트시큐리티, 북한 정부 연계 추정 해커 그룹 '금성121'의 사이버 공격 발견

북한 정부의 후원을 받는 것으로 추정되는 사이버 범죄 그룹 ‘금성121(Geumseong121)’ 해커들이 새로운 시나리오로 APT(지능형지속위협) 공격을 자행하고 있는 것으로 드러났다. 보안 기업 이스트시큐리티는 5월 8일 금성121 그룹이 은밀히 사이버 공격을 수행하고 있다고 밝혔다.

금성121 그룹은 국내 기업과 기관 등 조직들을 대상으로 각종 사이버 공격을 수행해온 해커 그룹이다. 특히 지난 2018년부터 북한과 관련된 정보를 빌미로 탈북자 등을 겨냥한 스피어피싱 공격을 펼쳐왔다. 스피어피싱은 '작살 낚시' 처럼 특정 조직이나 인물에 대해 맞춤형 사이버 공격을 벌이는 행위를 뜻한다.

이스트시큐리티 시큐리티대응센터 ESRC의 위협 분석 결과, 최근 금성 121은 통일정책 분야의 연구원을 사칭하고 있는 것으로 드러났다. 해커는 공격 대상의 스마트폰 전화번호 등 개인정보를 1차 수집하고, 일정 기간 후 상대방과 성별이 다른 카카오톡 프로필을 만들어 해킹을 시도한다. 특히 공격 대상이 남성일 경우 미모의 여성 사진과 이름으로 접근하는 소위 '미인계 작전'을 펼친다.

통일 정책부냥 연구원으로 위장한 이메일(자료: 이스트시큐리티)
통일 정책 분야 연구원으로 위장한 이메일(자료: 이스트시큐리티)

해커는 먼저 대북분야에서 활동하는 주요 인사들을 선별하고, 통일 정책 분야의 기관에 새로 근무하게 된 여성 선임연구원을 사칭해 가짜 소개 이메일을 보낸다. 이메일은 기존 스피어 피싱 공격처럼 악성 파일이나 위험한 URL 링크를 포함하지 않으며, 평범한 소개 및 인사 내용만을 담아 의심을 피한다. 하지만 이메일을 수신한 다수에게 확인 차원의 회신을 요청하고, 답신한 사람들에겐 연락 목적으로 전화번호 등을 요구한다.

해커는 일반적인 이메일 소통으로 공격 대상의 스마트폰 전화번호를 확보하고, 일정 기간이 지난 후 가상의 새로운 인물로 위장해 카카오톡으로 접근을 시도한다. 해커는 이렇게 연결된 공격대상과 최소 1달 이상 극히 일상적인 대화와 정상적인 사진, 문서 파일 등을 여러 차례 공유하며 최대한 의심을 피한다.

해커는 이같은 과정을 통해 자신이 보낸 파일은 전혀 보안 위협이 되지 않는다는 인식을 심는 등 오랜 시간을 들여 치밀하게 접근한다. 어느정도 친밀감을 높이고 안심했다고 생각하는 시점에 해커는 본색을 드러낸다. 공격대상에게 위협요소가 포함된 자료를 전달해 본격적으로 해킹을 수행한다.

ESRC에 따르면 금성121은 PC기반 공격뿐만 아니라 스마트 폰을 대상으로도 다양한 형태의 APT 공격을 시기적절하게 수행하고 있다. 실제로 이들은 지난 3월 ‘오퍼레이션 스파이 클라우드(Operation Spy Cloud)’ APT 공격을 통해 외교, 통일, 안보분야 종사자나 대북관련 단체장, 탈북민을 겨냥한 위협을 가속화 중인 것으로 알려졌다.

또한 웹 서버를 직접 디자인해 구축하는 등 갈수록 치밀하고, 과감한 위협 시나리오를 사용해 사이버 공격을 가한다. 특히 구글 플레이 공식 앱 마켓이나 유튜브를 통한 신뢰 기반 공격의 대담함은 다른 APT 조직에서 흔히 찾아볼 수 없는 독특한 면이다.

문종현 ESRC 센터장은 "금성121은 다년간 한국의 정치적 상황을 이용, 모바일 서비스를 활용해 통일 및 대북 관계자를 겨냥한 위협 활동을 지속하고 있다"며, "모르는 사람이 대화를 시도해 올 경우 함부로 친구 관계를 맺지 않도록 하고, 반드시 별도의 신분 확인 절차와 보안 의식 생활화가 필요하다"고 지적했다.


관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.