“라자루스 연계 가능성 해커들, 유럽 항공·우주·군사 기업 공격”

컴퓨터 해킹을 표현한 일러스트레이션 (자료사진)

북한 라자루스와 연계 가능성 있는 해킹 공격이 항공 우주, 군사 기업들에 이뤄졌다고, 유럽의 정보기술  보안업체가 말했습니다. 북한이 흔히 사용하는 악성코드가 포함된 가짜 이메일을 특정 대상에게 보내는 ‘스피어 피싱’이 사용됐습니다.

 

슬로바키아의 정보기술(IT) 솔루션 보안업체 이셋(ESET)은 17일, 유럽의 항공 우주, 군사 기업들에 북한의 해킹그룹 라자루스와 연계 가능성이 있는 해킹 공격이 이뤄졌다고 말했습니다.

이 업체는 해커들이 지난해 9월부터 12월까지 ‘인터셉션 작전(Operation Interception)’ 혹은 ‘인셉션 작전(Operation Inception)’으로 불리는 해킹 작전을 통해 유럽의 항공 우주와 군사 기업의 데이터를 빼냈다고 밝혔습니다.

해커들이 사회관계망 서비스인 ‘링크드인(LinkedIn)’에서 기업의 인사 담당자로 위장해 유럽의 항공 우주와 군사 기업에 근무하는 직원들을 상대로 악성코드가 포함된 가짜 입사 제안서를 이메일로 보내는 ‘스피어 피싱(Spear phishing)’ 방식을 사용했다는 설명입니다.

이셋의 도미닉 브레이텐배처 연구원은 이메일 수신자가 이메일에 포함된 PDF파일을 열면 악성코드가 컴퓨터에 설치돼 특정 시간에 해커가 원하는 작업이 컴퓨터에서 시작되도록 설정하는 방식으로 공격이 지속적으로 이뤄지도록 했다고 말했습니다.

보안업체 이셋은 해당 공격들에서 북한의 라자루스 그룹과 연계 가능성을 보여주는 흔적들을 몇 가지 발견했다고 밝혔습니다.

표적을 공격하는 방법, 공격을 위해 환경을 조성하는 방식, 분석 방해 기술이 유사하다는 겁니다.

해킹 공격에 이용되는 악성코드를 띄워놓은 노트북 컴퓨터 화면.

브레이텐배처 연구원은 해커들의 공격 수법들을 분석한 결과, 모두 기술 정보나 영업 비밀을 훔치려고 했다는 신호들이 발견됐으며 이외에도 다른 기업들로부터 돈을 훔치려고 한 시도들의 증거도 발견됐다고 말했습니다.

워싱턴의 민간단체인 민주주의수호재단 (FDD )의 매튜 하 연구원은 해당 해킹 공격 사례들이 북한을 배후로 직접적으로 지적하고 있지는 않지만, 스피어 피싱은 북한이 흔히 사용하는 해킹 방식이라고 말했습니다.

[녹취: 하 연구원] “North Koreans use very simple methods to get to their target and spear phishing is one of those tactics. This is how they get to many different industries: cryptocurrency exchanges, banks or even aerospace companies in Europe.”

북한은 대상을 공격하기 위해 쉬운 방식을 사용하는데, 스피어 피싱이 북한이 사용하는 전술 중 하나라는 겁니다.

하 연구원은 북한이 해당 해킹 방식을 사용해 지금까지 가상화폐 거래소, 은행 등 다양한 산업 분야들을 공격해왔다고 지적했습니다.

하 연구원은 또, 아직까지 발견되지 않은 북한의 스피어 피싱의 사례들이 많을 것이라며, 북한이 향후에도 스피어 피싱 방식을 변형해 사이버 공격을 시도할 것으로 내다봤습니다.  

VOA 뉴스 김카니입니다.

*스피어 피싱(spear phishing)

조직 내에 신뢰할 만한 발신인으로 위장해 ID 및 패스워드 정보를 요구하는 일종의 피싱 공격. 메일을 보내 가짜 사이트로 유도하여 악성 코드를 설치하게 하거나 ID와 패스워드를 입력하게 하여 네트워크에 침입할 수도 있다. 사용자 ID와 암호를 답변하거나 링크 클릭, 메일, 팝업 창 또는 웹 사이트의 첨부 파일을 열 경우에 ID 및 암호 도용의 피해자가 되거나 조직이 위험에 처할 수 있다.