‘구인 제안·연봉 조정’ 이메일 주의…北 해커의 ‘피싱’일 수도
보안기업 이스트시큐리티는 25일 카카오 로그인 페이지로 위장해 대북 업무 관련 종사자들의 계정 정보 탈취를 시도하는 피싱 이메일이 발견됐다며 주의를 당부했다.
이스트시큐리티가 공개한 이메일을 보면 발송자는 ‘[kakao]해외지역에서 로그인되었습니다’라는 제목으로 카카오팀을 사칭해 이메일을 보냈다. 이 이메일은 이달 초부터 다수의 대북 관련 종사자에게 발송된 것으로 알려졌다.
이메일 본문에는 ‘귀하의 계정이 해외지역에서 로그인됐다’는 내용과 함께 ‘[해외지역 로그인 차단하러 가기]’ 버튼이 포함됐다.
버튼을 누르면 가짜 카카오 로그인 화면에 접속되는데, 이는 실제 카카오 로그인 페이지와 매우 흡사하게 만들어졌다. 아이디와 비밀번호를 입력하는 칸뿐 아니라 QR코드 로그인, 개인정보 처리방침과 같은 다른 메뉴들도 갖추고 있다.
이곳에 개인정보를 입력하면 공격자의 서버로 전송된다.
이스트시큐리티는 “여러 지표를 분석한 결과, 이번 공격은 북한이 배후에 있는 APT(지능형 지속 공격) 조직의 ‘스모크 스크린’ 공격 활동의 연장선에 있다는 결론이 나온다”고 밝혔다.
실제로 이번 공격에 사용된 IP는 지난달 국내 외교·안보 종사자를 상대로 한 북한 연계 해킹 공격에서도 활용된 바 있다고 이스트시큐리티는 덧붙였다.
북한은 최근 한국을 겨냥한 다양한 사이버 공격을 펼치며 이용자들의 개인정보 탈취를 시도하고 있다.
북한 해커 조직 ‘김수키’는 카카오의 포털 사이트 ‘다음’을 위장한 피싱 메일로 이용자들의 비밀번호를 빼내려 시도한 정황이 발각됐다. 북한 해커 조직들은 또 국세청의 ‘세무조사 출석요구 안내통지문’을 사칭해 해킹 공격을 시도하기도 했다.
‘구인 제안·연봉 조정’ 이메일 주의…北 해커의 ‘피싱’일 수도
美 보안업체 보고서 “北 해커 TA444, 기존과 다른 새로운 방식 시도”
“지난달 美·加 금융·교육·의료분야 대규모 피싱…작년 10억불 탈취”
북한 해커 조직이 가상화폐 탈취를 위해 ‘구인 제안’과 ‘연봉 조정’ 등의 이메일을 보내는 등 새로운 수법을 시도하고 있다는 분석이 25일(현지시간) 제기됐다.
미국 정보기술(IT) 보안업체인 프루프포인트는 최근 펴낸 보고서에서 북한 해커들이 ‘스타트업 정신'(startup mentality)을 보여주고 있다며 가상화폐 해킹을 위해 새로운 방법을 테스트하고 있다고 밝혔다.
보고서는 ‘TA444’라는 북한 해커 조직에 주목했다. TA444는 북한의 해킹 조직으로 잘 알려진 APT38, ‘라자루스’와 같이 북한 정권과 연계된 조직이다.
이 조직이 다른 해킹 그룹과 같이 북한의 수익 창출 임무를 맡으면서 2017년부터는 가상화폐 해킹을 겨냥한 활동을 하고 있다고 보고서는 분석했다.
특히, 지난해 12월에는 미국과 캐나다의 금융, 교육, 정부, 의료 분야를 겨냥한 대규모 피싱 공격을 시작했다고 밝혔다.
프루프포인트에 따르면 이 조직은 이용자의 비밀번호와 로그인 정보를 얻기 위해 기존과는 다른 방법을 사용했다.
해커들은 피싱 필터를 피하려고 이메일을 이용한 접근 방식을 사용했다. 이들은 타깃이 되는 대상을 유인하기 위해 유명 기업의 구인 제안이나 연봉 조정, 가상화폐 블록체인 분석과 같은 위장 콘텐츠로 접근했다.
TA444는 이용자들을 접촉하기 위해 최근 가장 인기 있는 이메일 마케팅 플랫폼 중 하나인 센드인블루(SendInBlue), 센드그리드(SendGrid)를 사용했고, 소셜 미디어 네트워킹 서비스 링크트인에도 의존했다고 보고서는 덧붙였다.
이 이메일에는 ‘관리자'(Admin)라는 용어와 대상이 된 도메인 이름이 사용됐지만, 메일 주소([email protected]) 등은 동일했다. 이 이메일을 클릭하면 이용자는 개인 정보를 수집하는 페이지로 유인됐다고 보고서는 설명했다.
보고서는 “이는 그동안 악성 프로그램을 직접 배포했던 TA444의 일반적인 활동에서는 벗어난 것”이라고 말했다.
프루프포인트는 지난해 12월 한 달간 T444가 보낸 스팸 메일이 지난해 1년간 보낸 이메일의 거의 두 배에 달했다고 설명했다.
이 업체의 그레그 레스뉴이치 수석 연구원은 TA444가 “스타트업 마인드를 갖고 있다”며 “해킹을 위해 도움이 되는 다양한 (악성코드) 감염 체인을 테스트하고 있다”고 분석했다.
이어 “그들은 소셜 미디어를 이용해 새로운 공격 방법을 빠르게 구상한다”며 “TA444는 세탁 가능한 자금을 들여와 북한의 현금 공급을 주도하고 있다”고 말했다.
또 TA444는 2021년 4억 달러에 가까운 규모의 가상화폐 자산을 탈취했고, 지난해에는 10억 달러 이상을 모았다고 보고서는 추정했다.
국제사회의 강력한 제재를 받는 북한은 외화벌이를 위해 사이버 범죄로 눈을 돌리고 있다.
미 연방수사국(FBI)은 지난 23일 ‘라자루스’와 함께 ‘APT38’이라는 북한 연계 해킹 조직이 작년 미국 블록체인 기업에서 가상화폐 1억 달러(약 1천200억원)를 탈취했다고 밝히기도 했다.
보고서는 “북한이 가상화폐 가치 하락을 간신히 견뎌내면서 여전히 가상화폐를 정권의 자금 수단으로 활용하려는 노력에 몰두하고 있다”고 전했다. (c) 연합뉴스 협약