이스트시큐리티 “현직 경찰 공무원 신분증 도용 발견…北해커 공격 주의보”

해킹 시도 때 보여지는 현직 경찰 신분증 화면 ./ 이스트시큐리티 제공

정보보안기업 이스트시큐리티는 17일 북한발 해킹 사건을 수사하는 현직 경찰 신분처럼 위장된 해킹 공격이 발견됐다고 밝혔다.

이스트시큐리티에 따르면 이번 사례는 경찰청에 근무하는 첨단안보수사계 수사관처럼 사칭해 얼굴과 실명 등이 담긴 공무원증을 PDF 문서로 위장해 해킹을 시도했다.

경찰의 신분증을 도용한 해킹 사건은 지난 2017년 국내 모 비트코인 거래소 관계자를 타깃으로 회원 가입 조회 협조 요청을 위장한 공격이 수행된 경우가 있다. 당시 공격에는 ‘비트코인 거래내역.xls’ 파일명의 악성 코드와 신분증 PDF 사본이 함께 사용됐고, 수사당국의 조사 결과 북한 소행으로 결론 난 바 있다.

앞서 발생한 비트코인 거래소 대상 경찰 사칭 공격은 정상 신분증 문서를 이메일에 악성 문서와 별도 첨부해 보낸 수법을 썼지만, 이번 공격은 악성 실행파일(EXE) 내부에 정상 신분증 PDF 문서를 교묘히 은닉 후, 악성 코드 작동 시점에 정상 파일로 교체한 점이 다르다고 이스트시큐리티 측은 설명했다.

이스트시큐리티 관계자는 “국내 사이버 위협의 양상이 날이 갈수록 과감해지고, 노골적인 방식으로 진화하고 있다”라며 “비슷한 해킹 공격에 빈번하게 노출되던 사람은 각별한 주의가 필요하다”라고 했다.

이스트시큐리티 시큐리티대응센터(ESRC)는 이번 공격을 분석한 결과 해킹 공격 거점에 국내 서버가 악용된 사실을 밝혀냈다. 또 관계 당국과 긴밀히 공조해 침해 사고 서버를 신속히 조치, 추가 피해 발생을 차단함과 동시에 공격 명령 과정에 사용된 여러 기록을 확보해 면밀히 분석 중이다.

ESRC는 이번 공격에 사용된 웹 서버 명령어가 지난 2월과 5월에 각각 보고된 유엔인권사무소 조선민주주의인민공화국 내 인권 상황에 관한 특별보고서, 대북전단과 관련한 민주평통 제20기 북한이탈주민 자문위원 대상 의견수렴 사칭으로 수행된 공격 때와 명령어 패턴이 일치한 것으로 파악했다.

또 유엔인권사무소를 사칭했던 악성 워드문서 파일(Docx)의 매크로 실행 유도 디자인과 과거 북한 배후의 해킹 공격으로 분류된 통일부 정착 지원과 사칭 공격 때의 화면이 서로 동일한 것으로 확인됐다.

ESRC는 과거 포착된 악성 워드 파일 공격의 경우 문서가 처음 실행될 때 ‘문서가 보호되었습니다’라는 가짜 마이크로소프트 타이틀을 보여주고, 세부 설명에 ‘콘텐츠 사용’ 버튼 클릭 유도용 디자인이 동일한 이미지로 재활용되고 있지만, 간혹 영문 표기나 일부 단어가 변경된 경우도 발견되고 있어 주의 깊게 분석할 필요가 있다고 밝혔다.

ESRC는 이번 공격에 사용된 명령제어(C2) 인프라 및 파워셸 코드 유사도, 주요 침해 지표(IoC) 등을 면밀히 비교한 결과 이른바 ‘스모크 스크린’ 지능형지속위협(APT) 캠페인으로 명명된 북한 정찰총국 연계 해킹 조직의 소행으로 최종 분류했다고 밝혔다.

이스트시큐리티 관계자는 “북한의 사이버 안보 위협은 대한민국 현직 경찰관의 신분을 도용해 해킹 대상자를 물색하고 과감하게 접근하는 시도까지 할 정도로 위험 수위가 높다”라며 “무엇도 신뢰하지 않는다는 전제의 제로트러스트 사이버 보안 모델 개념처럼 항상 의심하고 경각심과 긴장을 높여야 할 때다”라고 했다.

이소연 기자(sosoy@chosunbiz.com)

<저작권자 ⓒ ChosunBiz.com, 무단전재 및 재배포 금지>