보안 기업 이스트시큐리티(대표 정진일)는 북한발 해킹 사건을 수사하는 현직 경찰 신분으로 위장한 해킹 공격이 최근 등장했다며 주의를 당부했다.

17일 이스트시큐리티에 따르면, 해당 공격은 OO경찰청 안보수사과에서 근무하는 실제 수사관의 얼굴과 실명이 담긴 공무원증을 PDF 문서로 만들어 활용했다. 해킹 수사를 하는 경찰로 인식시켜 의심 없이 악성 파일을 열도록 했다는 것이다.

북한 관련 조사나 연구, 지원 등 대북 활동을 하는 이들이 대상으로, 개인정보나 북한 관련 연구정보를 탈취하려 했다는 게 이스트시큐리티의 설명이다.

이스트시큐리티 시큐리티대응센터(ESRC)는 이번 공격을 분석해 해킹 공격 거점에 국내 서버가 악용된 사실을 밝혀냈다.

ESRC는 공격에 사용된 명령제어(C2) 인프라 및 파워셸(Powershell) 코드 유사도, 주요 침해 지표(IoC) 등을 비교한 결과, 이른바 ‘스모크 스크린’ 지능형지속위협(APT) 캠페인으로 명명된 북한 정찰총국 연계 해킹 조직의 소행으로 최종 분류했다고 설명했다.

이번 해킹 공격에 활용됐던 실제 경찰의 신분증 PDF 파일. (출처: 이스트시큐리티)

앞서 경찰 신분증을 도용한 해킹은 지난 2017년에도 일어났었다. 국내 모 비트코인 거래소에 경찰이 회원 조회 협조를 요청하는 것처럼 속인 이메일 공격이 수행됐다.

당시에는 파일명이 ‘비트코인 거래내역.xls’으로 된 악성 코드와 신분증 PDF 사본이 함께 쓰였다. 신분증을 확인하고 엑셀 파일을 열면 악성 코드가 깔리는 식이다. 수사당국의 조사 결과 북한 소행으로 결론났다. 이때는 정상 신분증 문서를 이메일에 악성 파일과 별도로 첨부했지만, 이번에는 악성 실행파일(EXE)을 클릭하면 정상 신분증 PDF 문서가 열리는 형태였던 점이 다르다.

또한 ESRC는 이번 공격에 사용된 웹 서버 명령어가 지난 2월과 5월 각각 보고된 ‘유엔인권사무소-조선민주주의인민공화국 내 인권 상황에 관한 특별보고서’, ‘대북전단과 관련한 민주평통 제20기 북한이탈주민 자문위원 대상 의견수렴’ 파일 공격과 명령어 패턴이 일치한 것으로 파악했다.

아울러 유엔인권사무소를 사칭했던 DOCX 악성 문서의 매크로 실행 유도 디자인과, 과거 북한 배후로 분류된 또 다른 공격인 ‘통일부 정착 지원과’ 사칭 공격 때의 화면이 동일한 것으로 조사됐다.


유엔인권사무소 사칭(좌), 통일부 사칭(우) 악성파일 매크로 유도 비교 화면. (출처: 이스트시큐리티)

ESRC 관계자는 “과거 비슷한 공격에서 포착된 악성 워드 파일 공격의 경우, 문서가 실행될 때 ‘문서가 보호되었습니다’라는 가짜 마이크로소프트 타이틀을 보여주고, 세부 설명에 ’콘텐츠 사용’ 버튼 클릭 유도용 디자인이 동일한 이미지로 표기된다”며 “간혹 영문 표기나 일부 단어가 변경된 경우가 있어 주의 깊게 들여다봐야 한다”고 조언했다.

이 관계자는 “북한의 사이버 안보 위협은 현직 경찰관의 신분을 도용해 대상자를 물색하고 국내 서버를 통해 접근할 정도로 위험 수위가 높다”며 “무엇도 신뢰하지 않는다는 전제의 제로트러스트 사이버 보안 모델 개념처럼 항상 의심하고 경각심을 가져야 한다”고 당부했다.

글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network