북한, 소셜미디어 이용한 해킹…진화된 방법으로 보안 전문가들도 속여

사이버 해킹을 묘사한 일러스트레이션.

북한이 사이버 보안 연구원들을 대상으로 한 해킹 공격을 계속하고 있다는 지적이 잇따르고 있습니다. 북한의 사이버 공격 능력 뿐만 아니라 전문가들을 기만하는 ‘사회 공학’의 진화가 주목되는 특징이라는 분석입니다. 

소셜 미디어 ‘트위터’의 한 계정 소개 화면입니다.

‘제임스 윌리’라는 이름으로 만들어진 이 계정은 본인을 사이버 보안 연구원이라고 밝히며 암호학과 수학에 관심이 있다고 소개하고 있습니다.

'마이크로소프트'사가 공개한 북한 해킹 그룹의 허위 '트위터' 계정

이 계정의 글을 받아보는 사람, 즉 팔로워 수는 약 1천 300명에 달합니다.

해당 계정은 지난 1월 18일 컴퓨터 운영 체계인 윈도우와 관련한 보안 문제를 제기하는 분석글을 올리며 다른 계정의 복수의 인물들을 함께 밝혀 많은 사람들이 이에 관여하고 있음을 강조했습니다. 이 글을 인용한 건수는 130건에 달합니다.

언뜻 보면 아무런 문제가 없고 심지어 사이버 보안 분야에서 전문 분야를 구축하고 있는 것으로 보이는 이 계정은 사실 북한 해킹 그룹이 만들어낸 허위 계정입니다.

미국 최대 소프트웨어 업체인 ‘마이크로소프트’가 최근 이처럼 허위로 만든 소셜 미디어 계정을 활용해 사이버 보안 연구원들을 노린 북한 해킹 그룹의 사이버 공격 활동이 계속되고 있다고 지적했습니다.

마이크로소프트 '위협 정보 센터'가 최근 공식 블로그를 통해 공개한 북한 해킹 그룹은 '징크'(ZINC)로, 이 조직은 최근 신종 코로나바이러스 감염증 백신을 노린 해킹 공격을 감행한 바 있다고 밝혀지기도 했습니다.

또한 이 그룹은 미 재무부가 제재 대상에 올린 '라자루스'와 같은 그룹으로, 북한 정찰총국의 통제를 받고 있는 것으로 알려졌습니다.

앞서 세계 최대 인터넷 검색 업체 구글이 연구원들을 노린 북한의 해킹 공격을 지적한 데 이어, 이번에 마이크로소프트는 구체적인 이름까지 공개했습니다.

전 세계 인터넷 검색과 컴퓨터 소프트웨어 분야에서 양대 산맥을 이루는 마이크로소프트와 구글 등이 한 목소리로 지적하는 북한의 해킹 수법은 일종의 기만을 통해 맺은 관계를 악용한 사이버 공격입니다.

이전까지 보고된 북한 해킹 그룹의 활동은 일자리 제안 등의 구체적인 내용을 담은 이메일을 다수의 목표물에 전송하며 바이러스를 함께 보내 이를 누르게 만드는 이른바 '스피어 피싱'이었습니다.

하지만 최근 북한 해킹 수법은 이를 넘어 가상의 인물을 만들어 낸 뒤 시간을 투자해 목표물로부터 '신뢰'를 얻는 방법으로까지 진화했습니다.

해커들이 자신과 관계가 형성된 연구원들에게 사이버 보안 연구에 사용되는 프로그램이라며 악성 바이러스를 유포해 연구원들의 컴퓨터 데이터에 접속하려 한다는 겁니다.

매튜 하 민주주의 수호재단 연구원은 2일 VOA와의 통화에서 이같은 북한의 기만 전술의 발전이 주목되는 부분이라고 설명했습니다.

[녹취: 하 연구원] "These hackers are putting up, are pretty well established with sufficient numbers of followers. It looks very legitimate. Their deception capabilities are very very sophisticated of being able to create these well constructed profiles."

하 연구원은 마이크로소프트와 구글이 공개한 트위터 계정을 보면 팔로워 수를 충분히 확보하는 등 잘 만들어져 매우 적법해 보인다며 북한의 기만 능력이 매우 발전돼 있음을 알 수 있다고 말했습니다.

[녹취: 하 연구원] "They're not targeting them through email They're targeting them through direct messages on Twitter And you know, they build the relationship first. I think it goes to show that they're tailoring each of these social engineering schemes." 

그러면서 과거와 같이 단순히 메일을 보내는 것에 그치는 것이 아니라 '트위터'와 같은 소셜 미디어를 통해 목표물에 직접 메시지를 보내 먼저 '관계' 구축에 나선다며, 이는 북한이 이같은 사회 공학적 계획을 만들어 나가고 있음을 보여준다고 덧붙였습니다.

마이크로소프트는 공격으로 인한 피해를 방지하기 위해서는 신원 미상의 인물로부터 링크나 파일 등을 건내 받았다면 전체 시스템이 아닌 별도의 운용 공간에서만 해당 프로그램을 가동하는 것이 도움이 된다고 조언했습니다.

VOA뉴스 오택성입니다.