컨텐츠 바로가기

03.29 (금)

네이버 사칭한 北 해커들…"국정원 前차장 이름 도용"

댓글 첫 댓글을 작성해보세요
주소복사가 완료되었습니다
[머니투데이 홍효진 기자]
머니투데이

네이버 클라우드 서비스 '마이박스' 공유 초대로 위장한 해킹 이메일 화면. /사진=이스트시큐리티 제공

<이미지를 클릭하시면 크게 보실 수 있습니다>


보안기업 이스트시큐리티는 국내 포털사 네이버(NAVER)의 클라우드 공유 초대 내용으로 위장한 북한 연계 해킹 공격이 최근 증가하고 있다고 8일 밝혔다.

이스트시큐리티에 따르면 지난 6일 발생한 이번 공격은 '북핵개발 역사와 북미관계 발전전망' 파일로 위장했다. 네이버 클라우드 서비스 '마이박스' 공유 초대자를 과거 정부 국가정보원 해외·북한 담당 1차장을 지냈던 인물 이름을 도용해 전달했다.

해킹 공격 메일 본문에는 "북한 8차 당대회의 전략노선 및 대남정책 변화 전망을 1건 보내드립니다. 참고하시면 다른 분들께도 도움이 되실 것 같아 이 파일을 공유합니다"라는 초대 메시지까지 포함됐다. 국내 이용자가 많은 실존 서비스를 교묘하게 사칭해 대북 분야 종사자나 전문가, 기자들을 상대로 피싱 공격이 이뤄졌다.

이스트시큐리티 시큐리티대응센터(ESRC) 분석에 따르면, 이번 공격은 메일 본문의 공유 초대 '수락' 버튼을 누를 경우 'share.myboxes.navers[.]tech' 'view.boxfile[.]click' 등 피싱 서버로 연결돼 이용자 비밀번호를 탈취하는 구조로 설계돼 있었다. 해킹 메일 본문이 실제 정상 서비스 디자인·문구와 거의 흡사해 별다른 의심 없이 해킹 위협에 노출될 우려가 있다고 ESRC는 봤다.

수개월간 해당 공격수법을 분석 중인 ESRC는 이번 공격이 지난달 외화벌이 목적으로 알려진 "써미츠 NFT 보상 사칭 해킹" 사건과 상반기부터 계속 발견되고 있는 "건강검진 결과 증명서 발급 위장 해킹" 등의 연장선이라고 설명했다.

ESRC 측은 "주요 침해 지표(IoC)와 위협 전략까지 종합적으로 분석한 결과 이른바 'KGH'로 분류된 북한 정찰총국 연계 해킹 조직의 소행으로 최종 지목됐다"며 "이번 배후로 지목된 조직은 지난달 국내 특정 신용카드사와 금융정보보호 서비스가 제공하는 스마트 신용 서비스 본인인증 발생 안내 메일처럼 사칭한 공격에도 가담했다"고 말했다.

공격자들은 다양한 주제를 활용해 국내 대북 분야 인사들을 상대로 끈질기게 공격을 시도하고 있다. 단순히 클릭을 유도하는 URL피싱을 넘어 아니라 DOC, HWP 악성 문서를 활용한 공격수법도 나오고 있다.

ESRC 관계자는 "오는 22일부터 한미연합훈련이 실시되는 가운데 북한 배후로 지목된 사이버 공세가 갈수록 거세지고 있다"며 "생활 밀착형 이메일 해킹 공격에 노출되지 않도록 개인과 기업 모두 사이버 안보에 대한 관심과 경각심을 높이고 보안 사각지대와 불감증을 제거해야 하는 시기"라고 주의를 당부했다.

홍효진 기자 hyost@mt.co.kr

<저작권자 ⓒ '돈이 보이는 리얼타임 뉴스' 머니투데이, 무단전재 및 재배포 금지>
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.