[Weekly Threat] 쿠팡 사태 후폭풍에 북·중 배후 위협까지
보안사고는 '일상'입니다. 이번 주 국내외에서 발생한 주요 사이버 위협과 사건·사고를 소개합니다. 최신 소식이 궁금하다면, '위클리 쓰렛(Weekly Threat)'을 확인해 보세요. <편집자주>
[디지털데일리 김보민기자] 쿠팡 해킹 사고를 악용한 낚시성 공격이 이어지고 있다. '명의 도용', '카드 배송'과 같은 키워드를 활용하거나 '피해 보상'을 명목으로 스미싱과 보이스피싱을 시도하는 사례가 지속 발견되고 있다.
국가 배후 위협도 끊이지 않았다. VS코드(VSCode) 개발 환경을 노린 북한 연계 암호화폐 탈취 악성코드가 발견되기도 했다. 악성코드는 오픈소스 플랫폼 깃허브에 정상 프로젝트처럼 위장해 숨어 있다가, 개발자가 이를 다운로드해 실행하기만 하면 자동으로 암호화폐 지갑 데이터를 탈취하는 방식으로 작동했다.
구글은 중국 피싱조직 '다르큘라(Darcula)'를 상대로 소송을 제기하기도 했다. 다르큘라가 지난 7개월간 탈취한 신용카드 정보는 90만건에 육박했고, 최대 600명 규모 사이버 범죄자가 연루된 것으로 나타났다.
 |
국가 배후 위협도 끊이지 않았다. VS코드(VSCode) 개발 환경을 노린 북한 연계 암호화폐 탈취 악성코드가 발견되기도 했다. 악성코드는 오픈소스 플랫폼 깃허브에 정상 프로젝트처럼 위장해 숨어 있다가, 개발자가 이를 다운로드해 실행하기만 하면 자동으로 암호화폐 지갑 데이터를 탈취하는 방식으로 작동했다.
구글은 중국 피싱조직 '다르큘라(Darcula)'를 상대로 소송을 제기하기도 했다. 다르큘라가 지난 7개월간 탈취한 신용카드 정보는 90만건에 육박했고, 최대 600명 규모 사이버 범죄자가 연루된 것으로 나타났다.
 |
한국인터넷진흥원(KISA) 보호나라는 19일 '이커머스 해킹 피해 악용 스미싱·피싱 주의 권고'라는 이름으로 안내문을 발송했다. 보호나라는 "이커머스(쿠팡) 개인정보 유출을 악용한 스미싱과 보이스피싱 시도가 지속 탐지되고 있다"며 "금전 피해로 연계되지 않도록 대국민 주의가 필요하다"고 밝혔다.
안내문에 따르면 '피해 보상', '명의 도용', '카드 배송' 등 키워드를 활용해 피해보상 안내를 빙자하거나 수사기관을 사칭한 스미싱 및 보이스피싱 시도가 이어지고 있다. 특히 "피해 보상과 환급금을 받을 방법을 안내하겠다"는 스미싱 문자를 보내거나, 검찰과 경찰을 사칭해 "개인정보를 이용한 명의도용이 발생했으니 앱을 설치해 확인하라"는 식의 보이스피싱을 시도하는 사례가 이어졌다. 가짜 고객센터에 연결하며 개인정보를 추가 탈취하고 악성앱 설치를 유도하는 경우도 있었다.
보호나라는 출처가 불분명한 사이트 주소를 누르지 말고 즉시 삭제할 것을 권고했다. 또한 휴대폰번호, 아이디, 비밀번호 등 개인정보는 신뢰된 사이트에만 입력해야 한다고 밝혔다. 인증번호의 경우 모바일 결제로 이어질 수 있어 확인이 필요하다고 덧붙였다. 정부기관과 금융회사의 경우 전화와 문자를 통해 원격제어앱 설치를 요구하지 않는다는 점도 강조했다.
유사한 스미싱 시도를 발견했다면 '전기통신금융사기 통합신고대응센터'와 'KISA 인터넷침해대응센터'에 상담을 문의할 수 있다. 카카오톡 채널 '보호나라' 내 '스미싱·피싱 확인 서비스'를 이용해 신고를 접수하거나 악성 여부를 판별할 수도 있다.
 |
이러한 분위기 속 북한 배후로 추정되는 공격도 포착됐다. 가상자산 추적 분석 기업 클로인트는 개발자가 많이 사용하는 코드 편집기 'VS코드'를 악용한 신규 암호화폐 탈취 악성코드를 발견했다고 19일 밝혔다. 해당 악성코드는 깃허브에 정상 오픈소스 프로젝트로 위장해 업로드돼 있었다. 개발자가 프로젝트를 다운로드해 열기만 해도 자동으로 실행됐고, 브라우저에 저장된 인증 정보와 지갑 데이터가 탈취됐다.
악성코드는 윈도, 맥OS, 리눅스 등 운영체제를 모두 공격 대상으로 삼은 것으로 확인됐다. 클로인트는 "주요 운영체제가 모두 공격 대상이어서 피해 범위가 광범위할 것으로 우려된다"며 "악성코드는 크롬, 파이어폭스 등 브라우저에 저장된 비밀번호, 쿠키, 자동완성 정보를 수집하고 24개 이상 암호화폐 지갑 확장프로그램 데이터와 시스템에 저장된 보안 정보를 탈취해 공격자 서버로 전송한다"고 설명했다.
북한 배후 가능성도 크다고 진단했다. 클로인트는 "암호화폐만을 집중 노리는 점이 북한 외화벌이 전략과 일치한다"며 "북한은 국제 경제 제재를 우회하기 위해 암호화폐 탈취를 주요 자금원으로 활용해왔고, 개발자를 표적으로 삼는 방식이 기존 공격 패턴과 유사하다"고 부연했다. 이어 "다단계 페이로드 구조와 공격 기법이 북한 해킹 조직 라자루스와 일치한다"고 말했다.
의심스러운 프로젝트를 다운로드해 열었다면 즉시 인터넷 연결을 차단하고, 백신 프로그램으로 전체 시스템 검사를 실시할 것을 당부했다. 클로인트는 "모든 온라인 계정 비밀번호를 변경하고 암호화폐 지갑 자산을 새 지갑으로 즉시 이동시켜야 한다"며 "금융거래 내역에서 이상거래가 있는지 확인하고 의심 활동이 발견되면 전문 기관에 신고하라"고 권고했다.
 |
구글은 신용카드 번호를 대규모로 탈취한 중국 피싱조직을 상대로 소송을 제기했다. 18일(현지시간) 블룸버그통신에 따르면 구글은 중국계로 추정되는 사이버 범죄 조직 '다르큘라(Darcula)'를 상대로 소송을 제기했다. 구글 측은 "(다르큘라 조직이) 미국인을 속여 신용카드 번호를 넘기도록 유도하는 대규모 피싱 캠페인을 진행했다"고 밝혔다.
구글은 다르큘라가 기술적 지식이 없는 공격자라도 대량으로 피싱문자 메시지를 발송할 수 있는 악성 소프트웨어 키트를 개발했다고 주장했다. 소장에 따르면 해당 문자 메시지는 유튜브 프리미엄 등 구글 서비스 무료 버전을 제공하는 것처럼 위장했다. 이후 문자를 받은 사용자들이 금융 정보를 입력하도록 유도했다.
다르큘라는 지난 7개월 동안 약 90만건에 달하는 신용카드 번호를 탈취한 것으로 나타났다. 구글은 이번 피싱 공격에 최대 600명 규모로 사이버 범죄자가 연루돼 있을 것으로 봤다. 현재 다르큘라 조직에 연루된 관계자들은 이번 소송에 대해 반응을 보이지 않고 있다. 피싱 캠페인에 활용한 텔레그램 채널도 삭제한 것으로 확인됐다.
- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -
이 기사의 카테고리는 언론사의 분류를 따릅니다.