[데이터넷] 지난해 북한 지원 공격그룹의 한국 타깃 피싱 공격이 전년대비 2.5배 증가했으며, 주로 연구기관과 정부기관 관계자를 대상으로 활동한 것으로 나타났다. 이는 NSHC의 ‘피싱 공격 활동: 양의 탈을 쓴 해킹 그룹’ 보고서에 따른 것으로, NSHC는 북한 지원 해킹그룹 중 ‘섹터A’로 명명한 그룹의 피싱 공격활동을 분석해 발표했다.

NSHC의 ‘쓰렛리콘 플랫폼’을 통해 분석한 섹터A는 이메일, 소셜 미디어, 메신저 등 업무와 일상에서 자주 사용하는 도구를 이용해 다양한 산업군의 공격 대상을 식별하고 접근했다. NSHC는 이들의 공격은 다른 그룹에 비해 공격 난이도가 낮은 편이라고 설명했으며, 공격 목표는 우리나라와 관련된 정치, 외교, 군사 활동을 포함한 중요한 정보를 수집하는 것이었다.

섹터A가 주로 공격한 분야는 연구·정부기관(21%)이며, 교육, NGO, 방송통신, 금융분야의 순으로 확인됏다. 공격 대상이 된 연구분야 조직은 사회, 정치, 경제, 기술 등과 같은 주제를 연구하거나 견해를 표명하는 조직으로, 주요 공격 대상은 대북분야 연구원이었다.

섹터A는 유명 포털사이트 계정 정보를 탈취해 연구·정부기관과 관련된 내부정보를 확인하는 한편, 내부 시스템 침투 발판을 마련할 수 있는 정보도 수집했다. 포털 사이트 계정과 연동된 메일, 클라우드 서비스의 유관조직 관련 정보도 수집했다. 이외에도 주식, 가상화폐, 부동산 분야의 개인 투자자도 공격 대상에 포함돼 있으며, 네이버 블로그에서 활동하면서 투자 정보 관련 내용을 주로 작성했다.

NSHC가 탐지한 피싱 사례 중 하나는, 외교부 소관 연구소에서 통일전략을 연구하는 연구원과 탈북자 출신 대북 분야 관계자를 대상으로 피싱 메일을 발송, 특정 신용카드 본인인증에 문제가 발생했다는 내용과 함께 “본인인증 내역 확인하기’라는 문구를 보여준다. 이를 클릭하면 피싱 사이트로 접속, 네이버 로그인 정보를 탈취했다.

대북관련 방송국 종사자에게는 탈북자 출신 인권운동가가 발송한 메일로 위장, ‘북한 주민에 의한 북한 변화.hwp’라는 이름의 첨부파일이 포함된 것처럼 보이게 했다. 실제로는 첨부파일이 아니라 피싱 사이트로 이동하는 하이퍼링크가 포함돼 있었다.

또 다른 사례로 한국의 한 대학교 교수와 교내 학과 사무실을 대상으로 포털 사이트 다음에서 발송한 것처럼 위장한 피싱 메일을 발송했다. 메일 본문에는 공격 대상 ID가 휴면상태로 전환될 예정이라면서 가짜 로그인 페이지를 보여주고 피싱 사이트로 접속하게 했다.

섹터A 그룹은 우리나라 사람들이 가장 많이 사용하는 네이버를 사칭했으며(64%), 이어 다음, 구글, 카카오 등의 순으로 나타났다. 대학교, 금융기관, 공공기관 등 여러 도메인명도 사용했다. 네이버 전자문서 등 정상 서비스로 위장해 사용자가 의심 없이 피싱 메일을 확인하도록 했다. 또 이들은 독일, 터키, 키프로스 등 세계 여러 나라의 웹 호스팅 서비스 업체를 이용해 등록했으며, 암호화폐를 결제 수단으로 사용할 수 있는 호스팅 서비스를 이용해 결제에서도 익명을 유지할 수 있게 했다.

NSHC 보고서에서는 “양의 탈을 쓴 늑대처럼 사용자를 속이는 정교한 국가기반 공격에 대응하기 위해서는 사이버 위협 인텔리전스(CTI)를 활용해 실제 피싱 공격 사례 확인, 도메인 및 피싱 페이지 정보를 수집하고, 대책을 마련해야 한다. 또 보안인식 교육을 통한 해킹 대응을 수립해야 한다”고 설명했다.

김선애 기자 다른기사 보기