미국에 이어 두 번째…'구글 서비스' 악용한 사이버 위협
 |
국가정보원은 독일 연방헌법보호청(BfV)과 합동으로 북한 연계 해킹조직 '킴수키(kimsuky)'의 신종 사이버 공격 기법을 알리고 이를 예방하기 위한 보안 권고문을 20일 발표했다. [사진=픽사베이] |
<이미지를 클릭하시면 크게 보실 수 있습니다> |
양국 정보기관이 합동 보안 권고문을 발표하는 것은 이례적으로, 지난달 미국 국가안보국(NSA)‧연방수사국(FBI)에 이어 두 번째다. 킴수키는 북한 정찰총국 산하 해킹조직으로 알려졌으며 '탈륨', '벨벳' 등으로도 불린다.
권고문에 따르면 공격자는 전통적인 공격 기법인 스피어 피싱을 사용했다. 스피어 피싱이란 특정 개인과 조직, 기업을 대상으로 악성 링크 혹은 악성 문서가 포함된 이메일을 전송해 정보를 탈취하는 방식이다. 다만 이번에 양국 정보기관이 포착한 공격 사례는 구글 서비스를 악용하는 등 기존 수법 대비 교묘해졌다.
공격자는 '크로미움' 브라우저의 확장 프로그램을 피해자의 이메일 내용을 탈취했다. 크로미움은 구글에서 개발하는 오픈소스 웹 브라우저 프로젝트다. 구글 크롬과 MS 엣지, 네이버 웨일 등이 크로미움 기반으로 제작된다. 악성 링크가 포함된 이메일을 전송한 후 크로미움 브라우저에서 작동하는 악성 프로그램 설치를 유도하는 방식이다. 피해자가 이 프로그램을 설치할 경우 공격자는 로그인을 하지 않고도 이메일 내용을 실시간으로 볼 수 있다.
'구글 플레이 동기화' 기능을 악용한 해킹 기법도 발견됐다. 공격자는 사전에 탈취한 구글 계정을 이용해 PC 계정 로그인을 한 후 동기화 기능을 적용, 피해자의 스마트폰에 악성 애플리케이션을 설치한다. 피해자가 별도 조작을 하지 않았는데도 앱이 설치되고 기기 내 저장된 자료가 탈취되는 방식이다.
국정원 관계자는 "공격 대상은 양국의 한반도·대북 정책 관련 전문가"라면서 "북한 정찰총국과 연계된 킴수키는 대부분 스피어 피싱을 통해 사이버 공격을 감행하고 있다"고 말했다.
국가 배후 해킹조직의 공격 수법은 나날이 진화하고 있다. 지난 2월 미국 정보기관과 발표한 보안 권고문에선 북한발 랜섬웨어 공격에 대한 주의를 당부했다. 당시 보안 권고문에 따르면 북한 연계 해킹조직은 위장 도메인·계정을 만든 뒤 가상 사설망(VPN) 등을 이용, 해킹 대상 기관의 네트워크를 공격한다. 이후 악성코드를 활용해 시스템을 파괴·암호화하고, 정상화를 조건으로 가상자산을 요구하고 있다.
백종욱 국정원 3차장은 "북한의 신종 해킹 활동에 대한 경각심을 갖고 일상생활에서 각별한 주의가 필요하다"며 "세계 각국과 합동 보안 권고문을 지속 발표할 것"이라고 말했다.
/김혜경 기자(hkmind9000@inews24.com)
[ⓒ 아이뉴스24 무단전재 및 재배포 금지]
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
