“북 해킹조직, SNS서 미 군수업체 사칭 지속”
2022.05.06
앵커: 북한 해킹 조직이 여전히 미국 군수업체를 사칭해 사이버 공격을 시도하는 것으로 확인됐습니다. 한 사이버 보안업체는 이들의 구체적인 공격 수법을 공개했습니다. 지정은 기자가 보도합니다.
영국에 본부를 둔 사이버 보안업체 ‘NCC그룹’은 5일 보고서를 통해, 북한의 대표적인 해킹 조직인 라자루스가 최근 인맥 연결 및 구인 전문 사이트인 ‘링크드인’에서 미국 군수업체 록히드마틴사의 직원을 사칭해 사이버 공격을 시도했다고 밝혔습니다.
특히 북한 해커들은 공격 대상에게 취업 기회를 제안하며 접근했는데, 이 과정에서 미국의 실제 구인 사이트와 비슷한 도메인, 즉 온라인 상의 주소를 이용한 것으로 나타났습니다.
구체적으로 해커들은 미국의 실제 구인 사이트인 ‘글로벌잡스’(globaljobs.org)와 유사한 도메인 ‘글로벌잡’(global-job.org)을 사용해 피해자들을 유인했습니다.
해커들은 피해자들이 이 웹사이트를 통해 악성 문서가 담긴 압축파일(.zip)을 내려 받도록 유도했습니다.
보고서는 이 문서와 라자루스가 과거 유포한 다른 문서 사이에 여러 유사점을 발견했다고 설명했습니다.
그러면서 라자루스는 이러한 방식으로 피해자의 컴퓨터에 엘씨피닷(LCPDot) 악성코드의 변형을 설치한 것으로 보인다고 전했습니다.
해커들은 이 악성코드가 매일 자동으로 실행되도록 ‘예약된 작업’을 생성한 것으로 나타났습니다.
보고서는 이외에도 라자루스가 온라인 메신저 ‘왓츠앱’(WhatsApp) 등을 통해서도 공격 대상들과 접촉했다고 밝혔습니다.
그러면서 북한 해커들이 공격 대상에 접근하기 위해 사람의 심리를 악용해 권한을 탈취하는 사회공학적 기법을 계속 이용하고 있다고 지적했습니다.
이런 가운데 미국 정보통신 기업 구글의 위협분석그룹(TAG)은 3일 보고서에서, 북한 해커들이 우크라이나 전쟁을 사이버 공격에 이용하고 있다고 재차 강조했습니다.
구글은 북한, 중국, 이란, 러시아 등 정부의 지원을 받는 해커들과 소속이 모호한 해커 조직들이 우크라이나 전쟁을 주제로 한 악성 이메일이나 링크를 공격 대상에게 보냈다고 설명했습니다.
그러면서 이처럼 우크라이나 전쟁을 이용한 해킹 사례가 점차 증가하고 있다고 덧붙였습니다.
한편 앞서 미국의 사이버 보안업체 ‘시만텍’은 지난달 보고서에서, 라자루스가 지난 1월 한국 화학 기업들을 대상으로 사이버 첩보활동을 벌였다며 기업들의 지적재산권을 탈취하려는 목적으로 보인다고 분석한 바 있습니다.
지난해 11월 구글 역시 보고서에서 북한 해커들이 한국 정보보안 기업 종사자들에게 한국 대표기업인 삼성을 사칭한 취업 제안 이메일을 보내 해킹을 시도했다고 밝히기도 했습니다.
북한의 정찰총국 산하 해킹조직으로 추정되는 라자루스는 지난 2014년 미국 소니픽처스와 2016년 방글라데시 중앙은행 해킹 사건, 2017년 워너크라이 랜섬웨어 유포 사건 등에 연루된 것으로 알려져 있습니다.
기자 지정은, 에디터 양성원, 웹팀 김상일