"북한발 해킹 사건 조사 중입니다"…경찰 사칭한 北 연계 해커


이스트시큐리티 "국내 서버 악용…'스모크 스크린' APT 캠페인 일치"

[아이뉴스24 김혜경 기자] 경찰 신분증을 도용해 북한발 해킹 사건을 조사 중인 것처럼 위장한 해킹 공격이 발견돼 각별한 주의가 요구된다.

해킹 시도 때 보여지는 신분증 화면. [사진=이스트시큐리티]

이스트시큐리티는 최근 현직 경찰을 사칭한 해킹 공격이 포착됐다고 17일 발표했다.

이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 이번 공격은 경찰청 첨단안보수사계에 근무 중인 수사관 실명과 신분증을 도용해 이뤄졌다는 점이 특징이다. 공격자는 공무원증을 PDF 문서로 위장해 해킹을 시도했다.

경찰 신분증을 도용한 해킹 공격은 2017년 국내 한 비트코인 거래소 관계자를 겨냥해 시도된 바 있다. 당시 공격에는 '비트코인 거래내역.xls' 파일명의 악성코드와 신분증 PDF 사본이 이용됐고, 수사당국 조사 결과 북한 소행으로 드러났다.

당시 공격자는 이메일에 정상 신분증 문서를 악성문서와 별도 첨부해 발송했다. 반면 이번에는 악성 실행파일 내부에 신분증 PDF 문서를 은닉한 후 악성코드 작동 시점에 정상 파일로 교체한 점이 다르다.

분석 결과 이번 해킹 공격에는 국내 서버가 이용된 것으로 나타났다. ESRC는 공격에 사용된 웹 서버 명령어가 지난 2월과 5월에 각각 보고된 '유엔인권사무소 조선민주주의인민공화국 내 인권 상황에 관한 특별보고서', '대북전단 관련 민주평통 제20기 북한이탈주민 자문위원 대상 의견수렴' 사칭으로 수행된 공격과 명령어 패턴이 일치한 것으로 파악했다.

또 유엔인권사무소를 사칭했던 악성 문서 파일(DOCX)의 매크로 실행 유도 디자인과 과거 북한 배후 해킹 공격으로 분류된 '통일부 정착 지원과' 사칭 공격 시 화면이 서로 동일한 것으로 분석됐다.

ESRC 관계자는 "공격에 사용된 명령제어(C2) 인프라‧파워셸(Powershell) 코드 유사도, 주요 침해 지표(IoC) 등을 비교한 결과 '스모크 스크린' 지능형지속위협(APT) 캠페인으로 명명된 북한 정찰총국 연계 조직의 소행으로 분석됐다"고 설명했다.

이어 "북한의 사이버 안보 위협은 현직 경찰관의 신분을 도용할 정도로 위험 수위가 높다"며 "제로 트러스트 보안 모델 개념처럼 항상 의심하고 경각심을 높여야 할 것"이라고 덧붙였다.

/김혜경 기자(hkmind9000@inews24.com)







포토뉴스