 |
임종철 디자이너 /사진=임종철 디자이너 |
북한 연계 해커조직이 'naver-com.cc'나 'dauum.net' 'goog1e.com' 등 짝퉁 메일로 공격하는 사례가 드러났다. 구글플레이의 연동 기능을 악용해 피해자의 안드로이드 스마트폰에 자동으로 악성코드를 심는 방식도 확인됐다.
22일 이스트시큐리티 알약 블로그 및 최근 국가정보원과 독일의 헌법보호청이 내놓은 '합동 보안 권고문' 등에 따르면 '탈륨' '벨벳천리마' 등으로 불리는 킴수키 해킹조직이 한반도·북한 전문가를 공격하기 위해 구글에서 제공하는 브라우저와 앱 스토어 서비스를 악용한 사례가 확인됐다.
킴수키(KIMSUKY) 조직은 북한 정찰총국과 연계돼 있다고 알려진 대표적 해킹조직이다. 이들은 스피어피싱(Spear Pishing), 즉 신뢰할 만한 지인을 사칭한 이메일을 발송했다. 이용자가 공격자의 피싱 메일에 속아 악성 크로미움 확장 프로그램을 설치하면 이용자가 구글 지메일(gmail)에 로그인 할 때 자동으로 확장 프로그램이 동작해 이메일을 훔쳐가기 시작한다.
크로미움이란 브라우저의 이름이자 다양한 브라우저에서 사용하는 소스코드를 생성하는 오픈소스 프로젝트의 이름이다. 이스트시큐리티는 "크로미움을 기반으로 개발된 브라우저에는 크롬, 엣지, 오페라, 네이버웨일, 삼성인터넷 등이 있다"고 설명했다.
이용자의 이메일은 공격자의 경유지 서버로 자동으로 전송된다. 국정원은 "이같은 공격수법은 메일 서비스가 제공하는 2차 인증 등 개인이 설정한 보안 설정을 우회하면서 공격자의 이메일을 은밀하게 절취하기 위한 것으로 평가한다"고 했다.
공격자는 사전에 절취한 피해자의 구글 계정으로 로그인 한 후 피해자의 안드로이드 스마트폰에 악성 앱 설치를 시도한다. 악성앱을 구글플레이 콘솔(앱 개발자 사이트)에 '내부 테스트용'으로 등록하고 공격 대상자 계정을 테스트 대상으로 추가한다. 이렇게 하면 공격자는 자신의 PC에서 피해자 구글 계정으로 로그인한 후 구글플레이스토어에 접속, 악성앱 설치를 요청한다. 악성앱을 설치할 디바이스(장치)로 구글 계정과 연동된 공격 대상자의 스마트폰을 설치하면 된다.
국정원은 "공격자가 악성앱을 내부 테스트용으로 등록하고 제한적으로 배포하는 것은 탐지를 최소화하고 특정 타깃을 대상으로 공격하기 위한 것"이라며 "스마트폰에 설치된 앱 목록을 점검해 악성앱 설치 여부를 확인할 수 있다"고 했다. 아울러 △백신 설치 및 최신 버전 업데이트 유지 △로그인 보안 강화 △의심 메일 열람 금지 △이메일에 링크된 홈페이지에의 비밀번호 입력 금지 △첨부 실행주의 △로그인 이력 수시 점검 등을 당부했다.
황국상 기자 gshwang@mt.co.kr
ⓒ 머니투데이 & mt.co.kr, 무단 전재 및 재배포 금지
이 기사의 카테고리는 언론사의 분류를 따릅니다.