“작은 이벤트도 다시 봐야, 이메일 해킹은 계속 진화한다”

최근 고도화하는 북한의 지능형지속위협(APT)에 긴장의 끈을 놓치지 말아야 한다는 조언이 나왔다. 단순한 이메일 공격도 성공 사례가 다수 발견된 만큼 아무리 잔뼈가 굵은 보안 담당자라도 작은 허점까지 확인해야 한다는 의견이다.

지난 12일 서울 중구 롯데호텔에서 열린 ‘국제 정보보호 컨퍼런스 2023’ 세션 발표에 나선 문종현 지니언스 이사는 질병을 앓는 환자의 상황에 보안을 비유하며 발표를 시작했다.

평소에 작은 건강 문제도 그대로 방치하면 디스크로 이어지는 등 더 큰 문제를 일으킨다는 게 문종현 이사의 전언이다. 보안도 마찬가지로 아주 작은 이벤트라고 해 이를 무시하면 큰 폭풍으로 이어질 수 있다.

올해 상반기 북한발 APT 트렌드도 마찬가지다. 널리 사용되는 이메일이 주요 해킹 수단으로 활용됐다. 문 이사는 “이메일을 이용한 사이버 위협을 평가절하하는 이들이 많지만 결코 그래서는 안 된다”면서 “피싱 이메일은 계속해서 정교하게 진화하고 있다”고 말했다.

앞서 1월 사례를 보면, 실제 존재하는 포럼 관련 내용으로 위장한 이메일이 특정 교수들에게 발송됐다. 토론회 참석 여부를 묻고 약력을 적어 달라며 워드(.doc) 파일을 함께 보냈다. 하지만 이는 악성 매크로를 설치하는 악성코드를 심은 파일이었다. 파일을 열기 위한 암호를 피해자에게만 보내 보안 분석가들의 탐지를 피한 것도 특징이다.

문종현 이사는 계속 지능화하고 고도화하는 위협에 대비해 엔드포인트 가시성을 확보하고, 민관 합동 대응 체계를 마련해야 한다고 강조했다.

5월에 있었던 공격도 주목할 필요가 있다. 국내의 북한 전문가들을 대상으로 5월 5일 어린이날 송부한 이메일은 국가정보원 간부와 외신 기자, 군사연구 전문가, 대북 전문 언론사 대표 등 21명을 표적으로 삼았다. 첨부된 압축파일에는 PDF와 PPT 파일 등이 담겼는데 이 또한 파일을 열면 악성코드에 감염되며 서버 통신을 통해 PC 내 정보가 탈취되는 구조다.

문 이사는 파일의 형태를 확인하는 작은 노력만으로도 일부 피해를 예방할 수 있을 것으로 봤다. 일례로 한글(.hwp) 파일 아이콘이 본래 모습과 달리 바로가기 화살표가 달려 있다면 악성코드를 심기 위한 파일일 가능성이 크다. 또 파일 작성자를 확인했을 때 일반인이나 기관의 이름이 아니라 ‘phoenix’ 등 생소한 이름으로 돼 있다면 반드시 의심해봐야 한다.

특히 올해 상반기에는 윈도우가 아닌 맥 또한 해킹의 타깃이 된 것도 눈에 띈다. 5월 중순 북한 연계 해킹조직 ‘APT 37’은 맥 운영체제(OS)를 사용하는 국내의 대북 분야 종사자를 대상으로 스피어 피싱 공격을 수행했다. 폐쇄적 구조의 맥OS를 1차적 안전장치로 여겼던 사용자들도 추가적인 보안 조치를 해야 한다는 게 문 이사의 조언이다.

그는 “사이버 공간은 사방이 지뢰밭이나 마찬가지”라며 “보안은 개인 취향을 고려하지 않는다. 이제는 맥도 안전하지 않다는 점을 인식해야 한다”고 강조했다.

한편 이날 컨퍼런스는 정보보호의 날 기념식과 함께 열렸다. 사이버 공격 방어대회, 정보보호 제품 전시회 등 다양한 부대행사가 국내외 정보보호 산·학·연 관계자 300여명을 맞았다. [관련 기사: 한덕수 총리 “거세지는 사이버 위협, 민관 협력과 국제 공조로 대응해야”]

글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다