이스트시큐리티 "통일 정책분야 연구원 사칭 APT 공격 주의"

[아이뉴스24 최은정 기자] 이스트시큐리티는 특정 정부가 연계된 것으로 알려진 사이버 위협 그룹 '금성121' 해커들이 새로운 공격 시나리오로 지능형지속위협(APT) 공격을 은밀히 수행하고 있다고 8일 발표했다.

이스트시큐리티 ESRC(시큐리티대응센터)에 따르면, 최근 이들은 통일정책 분야 연구원으로 위장해 공격 대상의 스마트폰 전화번호 등 개인정보를 수집했다. 이후 상대방과 성별이 다른 카카오톡 프로필을 만들어 해킹을 시도한다. 만약 공격 대상자가 남성일 경우 미모의 여성 사진과 이름으로 접근해 사이버 위협을 가했다는 분석이다.

먼저 해커는 대북 분야에서 활동하는 주요 인사들을 선별하고, 이들에게 자신이 통일 정책 분야의 기관에 새로 근무하게 된 여성 선임연구원처럼 사칭한 가짜 소개 이메일을 보냈다.

해당 이메일에는 기존 스피어 피싱 공격처럼 별도 악성 파일이나 위험한 URL 링크를 포함하지 않고 평범한 소개·인사 내용만을 담고 있어 해킹 의심을 최소화했다. 하지만 이메일을 수신한 다수 사람에게 확인차 회신을 요청, 일부 답신한 사람들에게 연락 목적으로 전화번호 등을 요구했다.

이런 일반적인 이메일 소통 과정으로 공격 대상자의 스마트폰 전화번호를 확보하고, 일정 기간이 지난 다음 가상의 새로운 인물로 위장해 카카오톡 메신저로 은밀히 접근을 시도했다는 게 ESRC 측 설명이다.

카카오톡으로 연결된 해커는 최소 1달 이상 극히 일상적인 대화와 정상적인 사진, 문서 파일 등을 여러 차례 공유하며 최대한 의심을 피하며 대화를 지속한다. 이를 통해 자신이 보낸 파일은 전혀 보안 위협이 되지 않는 것처럼 속이고, 점차 신뢰하도록 장기간 치밀한 과정을 거친다. 공격 대상자와 친밀감을 쌓았다고 생각하는 시점에 해커는 위협요소가 포함된 자료를 전달해 해킹을 본격적으로 수행하게 된다.

ESRC는 "금성121 조직은 PC 기반 공격 뿐 아니라 스마트폰을 상대로 다양한 형태의 APT 공격을 시기적절하게 수행하고 있다"며 "중장기적인 플랜과 시간을 두고 맞춤형 APT 공격을 벌이고 있다"고 설명했다.

실제로 이 조직은 지난 3월 외교, 통일·안보 분야 종사자나 대북 관련 단체장, 탈북민을 겨냥해 공격을 시도했다. 웹 서버를 직접 디자인해 구축하는 등 갈수록 치밀하고 과감한 위협 시나리오로 공격을 감행하고 있다는 설명이다. 특히 구글 플레이 공식 애플리케이션 마켓이나 유튜브를 통한 공격을 이어가고 있다.

문종현 ESRC 센터장 겸 이사는 "금성121 조직은 한국의 정치적인 상황과 맞물려 통일·대북 관계자를 겨냥한 대표적인 위협 배후로 다양한 모바일 서비스를 활용한 위협 활동을 지속하고 있다"며 "최근까지 모바일 기반으로 공격 대상자를 선별해 진행하고 있어 모르는 사람이 대화를 시도할 경우 별도 신분 확인 절차를 거치는 등 보안 의식 생활화가 필요하다"고 강조했다.

최은정 기자의 다른 기사 보기

• 라자루스 그룹 소행 국내외 APT 공격 '주의보'

• 北 연계 추정 '김수키' 조직, 해외 보안 프로그램 위장 공격 '발견'