앵커: 최근 북한 해커 그룹이 일반에 잘 알려진 대형 은행을 사칭해 피해자를 물색하고 있는 것으로 나타나 주의가 요구되고 있습니다. 미국 뱅크오브아메리카 은행이나 일본 미쓰이 스미모토 은행으로 가장하기도 하는데요. 자세한 내용 심재훈 기자가 보도합니다.
전자우편에 워드(Word)문서 등 파일을 첨부해 피해자가 악성 소프트웨어를 내려받게 하는 북한 해커 그룹.
보통 낯선 전자우편은 열지 않지만, 은행 등 공신력 있는 기관이거나 거래업체에서 온 전자우편이라면 얘기가 달라집니다.
최근 북한 해커들은 사람들의 이런 성향을 노려 자신이 대형 은행인 것처럼 위장접근하는 것으로 나타났습니다.
27일 영국에 본사를 두고 있는 사이버 보안 회사 카스퍼스키(Kaspersky)는 북한 해커그룹 ‘블루노로프(BlueNoroff)’가 사용한 ‘유사 인터넷 주소’를 공개하며 주의를 당부했습니다.
미국 대형은행인 뱅크오브아메리카 공식주소는bankofamerica.com인데, 해커들은bankofamerica.tel과 bankofamerica.nyc, bankofamerica.us.org를 사용한 것으로 나타났습니다.
공식 주소 smbc.co.jp를 사용하는 일본 미쓰이 스미모토 은행처럼 위장한 해커들은 smbc.ltd와 smbcgroup.us, smbc-vc.com 등 언뜻 보기에 유사한 주소를 사용한 것으로 조사됐습니다.
북한 해커들은 이런 유사 인터넷 주소를 70개 이상 사용한 것으로 나타났습니다.
이 가운데는 창업기업에 투자하는 ‘벤처 캐피탈’ 회사의 유사 인터넷 주소도 많았습니다.
피해자는 자금 투자 회사에서 오는 전자우편을 열어 첨부문서를 내려받을 가능성이 높기 때문입니다.
해커들은 일본 벤처 캐피탈 회사 ‘비욘드 넥스트 벤처스(Beyond Next Ventures)’와 ‘아노바카(ANOBAKA)’, ‘제트 벤처 캐피탈(Z Venture Capital)’, ‘ABF캐피탈(ABF Capital)’, ‘엔젤브릿지(Angel Bridge), ‘트랜스-퍼시픽 테크놀로지 펀드(Trans-Pacific Technology Fund)’의 인터넷 주소와 유사한 주소를 만들어 사용했습니다.
카스퍼스키 사이버 보안 연구소는 아랍에미레이트(UAE) 주택금융 분야에서 피해사례가 나왔고, 해커가 일본어로 만든 문서 샘플(표본)도 발견됐다며 ‘블루노로프(BlueNoroff)’는 재정적 수익을 내기 위한 강한 동기 가운데 해킹 공격에 나선다고 밝혔습니다.(It shows that this group has a strong financial motivation and actually succeeds in making profits from their cyberattacks.)
또한 이런 유형의 해킹 공격이 앞으로 지속될 것이라고 전망했습니다. (This also suggests that attacks by this group are unlikely to decrease in the near future.)
미 버지니아주에 기반한 사이버 보안회사 맨디언트(Mandiant)의 마이클 반하트(Michael Barnhart) 수석분석가(principal analyst)도 29일 자유아시아방송(RFA)에 최근 북한 해커의 이런 활동을 맨디언트도 추적하고 있다고 밝혔습니다.
그는 “일반인들이 이렇게 위장된 은행명에 쉽게 속을 수 있고 실제로 속는 일이 꽤 자주 일어난다”며, “분별이 쉬워보이지만 많은 사람들이 놓치고 있기 때문에 이것은 사이버 보안에 취약한 사람들을 대상으로 효과적인 무기가 되고 있다”고 설명했습니다.(Mandiant believes normal people can easily be tricked into a fake or spoofed Bank name and see it happen quite often both in the criminal and cyber espionage efforts. That may seem easy, but to many, this does go unnoticed at times. Couple these items together and weaponize this against a potential victim that does not have appropriate cyber hygiene and it can prove to be very effective.)
그는 또 “북한 해커는 돈을 많이 가지고 있는 사람이나 그렇지 않은 사람을 구분하지 않고 공격한다”고 강조했습니다. (DPRK, and specifically this subgroup, do not differentiate between rich and poor, they’re targeting anyone that may prove to give them any funds.)
버지니아주의 또 다른 사이버 보안 회사 ‘인터넷 2.0(Internet 2.0)’도 이번에 카스퍼스키 연구소가 지적한 위험을 가볍게 여겨서는 안된다며 북한이 은행명을 사칭해 일반인들을 속일 수 있다고 밝혔습니다.
데이빗 로빈슨(David Robinson) 인터넷2.0 공동대표는 29일 자유아시아방송(RFA)에 “합법적인 은행이라고 주장하는 웹사이트에서 개인정보를 입력할 때 주의를 기울여야 한다”며, “개인들은 거래하려는 금융기관을 조사하고 합법적인지 확인해야 한다”고 강조했습니다.(be caut ious when providing personal information to a website that claims to be a legitimate bank. Additionally, individuals should research any financial institutions they are considering doing business with and make sure they are legitimate.)
기자 심재훈, 에디터 김소영, 웹팀 이경하