닫기

글로벌이코노믹

[글로벌-이슈 24]북한의 해킹 수법 진화... 글로벌 방산업체 '채용공고' 가장

공유
0

[글로벌-이슈 24]북한의 해킹 수법 진화... 글로벌 방산업체 '채용공고' 가장

신종코로나아바이러스감염증(코로나19) 사태에 따른 경제난을 돌파하기 위한 자금을 모으고 한국과 미국,영국, 이스라엘 등의 정보를 탈취하기 위해 북한 해킹조직이 항공∙방위산업체 구인 공고를 미끼로 한 북한 해킹조직의 악성 사이버 활동이 지속되고 있는 것으로 나타났다.

center
라자루스가 미국 방산업체 보잉과 영국 방산업체 BAE로 위장한 가짜 마이크로소프트 워드 문서. 사진=안랩시큐리티대응센터(ASEC)

미국 자유아시아방송(RFA)이 14일(현지시각) 인용한 영국에 기반을 둔 국제 보안회사 클리어스카이와 세계적인 보안업체 맥아피(McAfee)의 연구결과에 따르면, 북한의 해킹 조직 '라자루스'가 글로벌 항공과 방위산업체를 겨냥한 악성 사이버 활동을 적극 벌이고 있는 것으로 나났다.

클리어스카이가 6월부터 8월까지 두달간 조사해 펴낸 글로벌 항공 방위산업체를 겨냥한 북한 해킹조직의 수법을 분석한 보고서 따르면, 라자루스는 공격 대상 기관 내부 직원들에게 세계 최대 항공기 제조회사 중 하나인 미국의 보잉과 맥도넬 더글라스와 영국계 방산업체 BAE시스템즈 등 업계 최고 수준의 채용공고를 가장해 접근하는 정교한 ‘소셜 엔지니어링’ 수법을 보였다. ‘소셜 엔지니어링’ 수법은 컴퓨터 시스템 보안 취약점을 노린 기술적 해킹이 아니라 사람의 심리를 악용해 권한을 탈취하는 방법이다.

라자루스는 구인·구직 사회연결망 서비스인 ‘링크트인’에 가짜 채용담당자 계정을 만들고 악성코드를 심은 전자우편을 보내는 것은 물론, 인터넷 메신저 ‘왓츠앱’으로 사람들에게 직접 문자나 전화로 연락을 취하는 ‘직접 접촉’ 수법을 쓴 것으로 드러났다.

클리어스카이에 따르면, 지난해에도 북한은 이스라엘 방산업체를 대상으로 해킹을 시도했지만 어설픈 히브리어로 된 전자우편으로 즉각 의심을 사 공격이 실패했다.

클리어스카이 보고서는 채용공고를 미끼로 악성코드를 심은 PDF 프로그램 설치를 유도하는 방식이 이번에 처음드러났다고 밝혔다.

미국 민주주의 수호재단(FDD)의 매튜 하 연구원은 RFA에 "이제는 개인도 링크트인과 왓츠앱 등 가장 널리 쓰이는 사회연결망서비스에서 해킹의 대상이 될 수 있는 새로운 위협을 목격하고 있다"고 평가했다.

맥아피 연구팀이 앞서 4월 초부터 지난 6월 중순까지 추적한 결과 악성 코드를 심은 전자우편을 이용해 상대방의 컴퓨터에서 정보를 빼내는 '스피어 피싱' 활동이 증가했다. 특히 이들 업체의 구인 공고를 미끼로 악성 코드를 심어 관련 기술 정보를 빼내려 한 것으로 보인다고 맥아피 연구팀은 주장했다.

연구팀은 이들의 공격 기법과 전술, 공격 과정(TTPs)이 2017년과 2019년 북한 소행 추정 악성 사이버 활동들과 매우 유사하다고 지적했다. 이들은 표적 피해자 컴퓨터에 악성코드를 심고 통제하기 위해 유럽 몇몇 국가들의 인터넷 망을 악용해 왔다고 밝혔다.

북한은 2017년 사드(THAAD) 즉 고고도미사일방어 체계 제작사인 록히드 마틴(Lockheed Martin)을 포함한 미국 방위 산업체들을 대상으로 한 해킹 사건의 배후로 추정되고 있다.

맥아피 연구팀은 올해 항공과 방위산업체에 대한 공격의 증가는 2019년의 악성 사이버 활동들의 연장선상인 것으로 보인다고 평가했다.

북한 해커들은 2019년 인도 해킹에서 악성코드가 담긴 전자우편을 보내, 전자우편을 받은 사람이 전자우편이나 문서를 읽는 순간 행정연결망을 통해 악성코드가 번지도록 공격에 나섰던 것으로 알려졌다.

매튜 하 연구원은 "북한 해커들이 공격 대상이 잘 속아 넘어갈 수 있도록 링크트인 같은 구인 사이트 등의 정보를 잘 활용한 전자우편을 보내기 때문에 자기 실체를 잘 감추고 있다는 데 주의가 필요하다"고 말했다.

미국 연구단체 애틀란틱 카운슬의 제니 전(Jenny Jun) 객원연구원은 RFA에 "북한이 해킹을 통해 어떤 항공∙국방 산업 관련 정보를 탈취하려 했는지를 분석하면 북한의 군사 전략이나 군사물품 구매 계획 혹은 어떤 사이버 공격을 계획하고 있는지 등을 미리 파악할 수 있을 것"이라면서 "북한이 방위산업체를 공격해 얻은 정보를 다른 범죄 조직이나 정부에 팔아 넘겨 최대한의 경제적 이익을 얻으려 할 수도 있다"고 말했다.


박희준 글로벌이코노믹 기자 jacklondon@g-enews.com