컨텐츠 바로가기

11.26 (화)

이슈 이태원 참사

'이태원 참사' 노렸던 北 해커조직…'북한인권' 단체 사칭

댓글 첫 댓글을 작성해보세요
주소복사가 완료되었습니다

APT37, 미국 인권단체 사칭한 이메일 뿌려

탈북민 등 대북 활동가 정보탈취 시도 추정

한국에선 '이태원 참사' 노려 악성코드 유포

북한 해커조직이 개인정보 탈취를 목적으로 저명한 '북한인권' 단체처럼 위장한 피싱 사이트를 개설한 것으로 나타났다. 문제의 해커조직은 지난해 10월 이른바 '이태원 참사' 당시 대처상황이 담긴 위장 파일을 통해 악성코드를 유포한 바 있다.

1일 지니언스 시큐리티 센터에 따르면 북한 해커조직 'APT37'은 지난 7월24일 미국 소재 비영리단체 리버티 인 노스코리아(LiNK·링크)의 북한인권 활동 지원 프로그램 안내문으로 위장한 이메일을 복수의 대북 활동가에 발송했다.

아시아경제

북한 해커조직

<이미지를 클릭하시면 크게 보실 수 있습니다>


이메일은 리버티 인 노스코리아 측이 실제로 운영 중인 '체인지메이커 활동 지원금 프로그램' 참가자를 모집한다는 내용으로, 자세한 사항은 홈페이지를 참고하라는 식의 안내를 통해 탈북민과 관련 단체 관계자 등을 유인했다. 이메일 하단에 있는 홈페이지 링크를 클릭하면 피싱용 도메인으로 연결되며, 여기에 정보를 입력하면 공격자 그룹이 탈취하는 구조다. 센터 측이 거점 서버의 흐름을 추적한 결과, APT37 인프라로 연결된 사실이 확인됐다.

센터 측은 해커조직이 공격 거점으로 사용할 도메인과 웹 서버를 직접 구축했으며, 웹 브라우저 내부에 인증 용도로 조작된 팝업 창을 추가로 집어넣는 '브라우저 인 더 브라우저' 수법을 사용했다고 설명했다. 공격의 의도는 대북 전문가의 일상생활을 감시하는 동시에, 개인정보 탈취를 목적으로 한 '사이버 첩보전'이라는 결론이다. 센터 관계자는 "팝업 창이 브라우저 화면 밖으로 옮겨지지 않는다면 실제 창이 아니라는 점에 유의하라"고 경고했다.

APT37, '이태원 참사' 때 악성코드 뿌린 그 조직
아시아경제

북한 해킹조직 'APT37'이 악성코드를 배포하기 위해 모방한 이태원 참사 보고서 [이미지출처=구글 위협분석그룹(TAG)]

<이미지를 클릭하시면 크게 보실 수 있습니다>


북한 해커조직 APT37은 기밀정보 수집을 주목적으로, 대북 단체와 국방 분야 관계자를 공격해온 조직이다. ▲금성121 ▲스카크러프트 ▲레드아이즈 ▲그룹123 등으로도 불린다. 2019년에는 통일부 해명자료처럼 꾸민 이메일에 악성코드를 심어 배포한 바 있으며, 2018년에는 네이버 백신 앱으로 위장한 스마트폰용 악성파일을 유포하기도 했다.

특히 APT37은 비교적 최근에 해당하는 지난해 10월에도 '용산구 이태원 사고 대처상황 - 2022.10.31(월) 06:00 현재'라는 제목의 워드 파일에 악성코드를 심어 유포한 바 있다. 당시 문제의 파일은 중앙재난안전대책본부 보고서 양식을 그대로 모방해 작성된 것으로 드러났다. 실제 사고 개요와 인명피해, 조치 상황 등이 자세히 적혀 있기도 했다.

비단 이태원 참사뿐만 아니라, 북한은 최근 한국의 사회적 이슈를 정교하게 활용하는 행태를 보이고 있다. 앞서 지난 10월 SK C&C 판교 데이터센터에서 발생한 화재로 카카오 서비스 장애가 발생했을 당시 북한 관련 업계 종사자와 탈북민, 정치인 등을 상대로 '[Kakao] 일부 서비스 오류 복구 및 긴급 조치 안내' 제하의 피싱 이메일을 뿌렸다.

北 해커조직, '네이버' 실시간 위장 사이트까지
아시아경제

북한 해커조직이 구현한 네이버 피싱사이트

<이미지를 클릭하시면 크게 보실 수 있습니다>


북한은 국내에서 폭넓게 사용되는 포털사이트 '네이버'를 실시간으로 복제하는 피싱사이트를 개설하기도 했다. 정상적인 접속 도메인 주소(www.naver.com)가 아닌 'www.naverportal.com' 등 도메인을 이용해 불특정 다수를 상대로 해킹을 시도한 것이다. 앞서 국가정보원은 지난 6월 이런 공격 정황을 포착하고 즉각 차단 조치에 나선 바 있다.

북한은 그간 단순히 네이버·카카오 등 포털의 로그인 페이지만 복제한 뒤 국내 사용자의 로그인을 유도했다. ID와 비밀번호 등을 해킹해 개인정보를 탈취하기 위한 시도다. 그러나 국정원에 적발된 문제의 사이트는 실제 네이버 메인화면을 실시간으로 완전히 복제한 것으로 나타났다. 심지어 증권, 부동산, 뉴스 등 세부 메뉴까지 동일하게 구현했다.

국정원 관계자는 "화면으로 보이는 외관만으로는 실제 사이트와 피싱사이트를 구분하기 어려울 정도"라며 "개인정보 탈취 가능성을 높이기 위해 북한이 공격 수법을 진화시킨 것으로 보인다"고 설명했다. 이어 "우리 국민을 대상으로 한 북한의 해킹 공격 수법이 갈수록 교묘해지고 있어 더욱 주의를 기울여 주시길 부탁드린다"고 당부했다.



장희준 기자 junh@asiae.co.kr
<ⓒ경제를 보는 눈, 세계를 보는 창 아시아경제(www.asiae.co.kr) 무단전재 배포금지>
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.