국가정보원이 북한의 대표적 해킹조직 '킴수키'의 신종 사이버공격 수법을 공개했다. 이용자가 많은 '구글 서비스'의 정상적인 기능을 악용해서 피해자의 전자기기에 악성 프로그램이나 해킹앱이 설치되도록 한 뒤 정보를 절취하는 것이다.

국가정보원은 독일 연방헌법보호청(BfV·이하 헌보청)과 합동으로, 킴수키의 지능화된 신종 사이버공격에 대한 위험성을 알리는 사이버 보안 권고문을 마련했다고 20일 밝혔다. 국정원이 해외 정보기관과 합동 권고문을 마련한 건 지난달 미국에 이어 두 번째다. 앞서 지난달 10일에는 미국 국가안보국(NSA)·연방수사국(FBI) 등과 함께 합동 권고문을 발표한 바 있다.

북한 해킹조직

<이미지를 클릭하시면 크게 보실 수 있습니다>

북한 정찰총국과 연계된 킴수키는 라자루스 등과 함께 손꼽히는 북한의 대표적 해킹조직으로, 핵·미사일 개발자금을 마련하기 위한 가상화폐 해킹은 물론 대량살상무기(WMD) 개발 정보를 탈취하기 위해 방산업체 등을 상대로 한 스피어피싱 공격도 감행해온 것으로 알려졌다. 킴수키란 명칭 외엔 '탈륨'이나 '벨벳', '천리마' 등으로 불리기도 한다.

국정원과 헌보청은 이 같은 킴수키의 공격 양상이 최근 들어 이용자가 많은 '구글서비스'를 악용하는 등 수법이 더욱 교묘해지고 있다는 데 주목했다. 한독 정보 당국이 공개한 대표적 공격 수법은 ▲구글메일 절취 ▲구글플레이 동기화 악용 등으로, 별다른 위장 없이 구글에서 정상적으로 제공 중인 기능을 악용했다는 게 특징이다.

우선 구글메일 절취는 '크로미움 브라우저'의 확장프로그램을 악용하는 것으로 나타났다. 크로미움이란 구글에서 개발하는 오픈소스 웹 브라우저 프로젝트로, 익히 알려진 구글 크롬과 MS 엣지, 네이버 웨일 등 서비스가 크로미움 기반으로 제작된 브라우저다. 국정원에 따르면 해커는 스피어피싱 수법으로 악성 링크가 포함된 이메일을 피해자에게 발송하고, 브라우저에서 작동하는 악성 확장프로그램의 설치를 유도한다. 피해자가 이 프로그램을 설치할 경우 해커는 별도의 로그인 없이 피해자의 이메일 내용을 실시간으로 절취할 수 있게 된다.

아울러 추가로 발견된 해킹 기법은 '구글플레이 동기화' 기능을 악용, 스마트폰에 악성 앱이 설치되도록 하는 수법이다. 해커는 사전에 피싱메일 등을 통해 절취한 피해자의 구글 계정으로 PC에서 로그인하는 것으로 공격을 시작한다. 로그인 이후 구글플레이 동기화 기능이 적용되면서 피해자의 별도 조작이 이뤄지지 않아도 스마트폰에 자동으로 악성 앱이 설치되는 것이다. 문제의 앱은 해커가 구글플레이에 테스트용으로 등록한 뒤 피해자 계정과 동기화를 시도하는 것인데, 이런 앱이 설치되면 피해자의 스마트폰에 담긴 자료들이 무방비로 탈취된다.

<이미지를 클릭하시면 크게 보실 수 있습니다>

국정원 관계자는 "북한 정찰총국과 연계된 킴수키의 최근 공격은 대부분 스피어피싱을 통해 이뤄지고 있다"며 "사용자가 직접 '악성 이메일 판별 방법'을 배우고 의심스러운 이메일을 수신하면 유의사항을 준수해야 한다"고 당부했다. 합동 권고문의 자세한 내용과 구체적인 피해 예방법, 침해지표(IoC) 등 기술적 내용은 국정원이나 국가사이버안보센터 홈페이지에서 확인할 수 있다.

아울러 국정원은 지난달 미국 정보기관에 이어 독일 정보기관과 합동 권고문을 마련한 배경에 대해 '국제 공조의 중요성'을 거듭 강조했다. 국정원 관계자는 "국가 배후 해킹조직의 공격 수법은 지금 이 순간에도 계속 진화하고 있다"며 "이 같은 공격에 효과적으로 대응하기 위해 국제 공조는 필수가 되고 있다"고 설명했다.

백종욱 국정원 3차장은 "북한의 신종 해킹 활동에 대해 경각심을 갖고 일상생활에서 각별한 주의를 당부한다"며 "국정원에선 우리 대한민국은 물론 전세계가 안전한 사이버공간을 이용할 수 있도록 세계 각국과 합동 보안 권고문을 지속해서 발표해 나갈 것"이라고 밝혔다.



장희준 기자 junh@asiae.co.kr
<ⓒ경제를 보는 눈, 세계를 보는 창 아시아경제(www.asiae.co.kr) 무단전재 배포금지>