구글 "北 해킹조직, 국무부 신용조합 사칭 해킹 시도"

RFA 보도…PDF파일에 악성 링크 넣어 계정 정보 탈취

ⓒ News1 DB

(서울=뉴스1) 양은하 기자 = 북한 해커들이 미국 국무부 관련 금융기관을 사칭해 해킹을 시도한 것으로 드러났다고 자유아시아방송(RFA)이 7일 보도했다.

세계 최대 인터넷 검색 업체 구글 위협분석그룹(TAG)이 지난 5일 홈페이지에 공개한 보고서에 따르면 '김수키' 또는 '탈륨'으로 잘 알려진 북한 해킹그룹 'APT43'이 지난해 말 미국의 '국무부 신용조합'을 사칭해 공격을 감행했다.

'국무부 신용조합'은 미국 국무부 직원이나 그 가족 등이 상호 유대를 바탕으로 자금 조성과 이용 등 공동 이익을 추구하는 일종의 은행이다.

북한 해커들은 이메일 등을 통해 피해자에게 악성 웹사이트 접속을 유도하는 '피싱 PDF파일'로 연결되는 링크(바로가기 주소)를 보내는 수법을 썼다.

이 링크는 국무부 신용조합이 보낸 것으로 위장한 PDF파일로 연결되고, PDF파일은 피해자의 구글 계정으로부터 의심스러운 로그인 기록이 확인됐다며 해당 파일에 나와 있는 링크를 눌러 의심 활동을 확인하라고 경고한다.

피해자가 이 링크를 누르면 북한 해커들이 미리 제작한 피싱 페이지로 연결되고, 피해자가 입력하는 비밀번호 등 계정 정보가 해커들에게 전달되는 식이다.

보고서는 컴퓨터 보안 프로그램인 안티바이러스가 파일 안에 있는 링크까지는 검사하지 않는다는 점을 북한 해커들이 악용해 정상적인 PDF파일에 악성 링크를 넣은 방식을 이용했다고 분석했다.

이외에도 APT43은 지금까지 다양한 수법을 이용해 공격 대상자를 피싱 페이지로 유인해온 것으로 확인됐다. 보고서는 APT43가 악성 링크나 파일을 보내기 전 며칠 혹은 몇 주에 걸쳐 대상자들과 이메일을 주고받는 등 많은 시간과 노력을 들이고 있다고 분석하기도 했다.

한편 북한 해킹그룹 APT43은 사이버 범죄를 통해 북한 정권에 자금을 조달하는 것으로 알려졌다.

yeh25@news1.kr