"탈북민 도와드려요"…'google' 주소 믿었는데 또 北 해커였다

진짜 사이트 주소 그대로 이용한 BitB(브라우저 인더 브라우저) 공격
사이트 진위여부 판별에 더 세심한 주의 필요

임종철 디자이너 /사진=임종철 디자이너

탈북민을 도와주는 국제 인권단체를 사칭해 개인정보를 빼내려는 북한 해커들의 움직임이 또 포착됐다. 기존에는 홈페이지 주소를 일부 변형한 유사 주소가 주로 공격에 이용됐지만 이번에 확인된 공격은 실제 홈페이지 주소를 그대로 사용하되 가짜 팝업창

정보보안 전문기업 지니언스가 운영하는 GSC(지니언스 시큐리티 센터)는 지난 7월24일 북한 연계 해킹그룹의 소행으로 분류된 새로운 공격 징후를 포착했다며 1일 이같이 밝혔다. GSC는 이번 위협이 국내외 대북 전문가의 일상생활 감시와 개인정보 탈취에 목적을 둔 사이버전의 일환으로 평가했다.

공격자가 사칭한 조직은 국제 비정부기구인 '링크'(LINK, Liberty in North Korea)였다. 공격자는 실제 링크가 운영 중인 '체인지메이커 활동 지원금 프로그램' 내용을 그대로 사칭했다. 매달 50만원씩 12개월간 총 600만원의 활동금을 지원하는 프로그램을 사칭해 탈북민이나 관련 단체를 공격대상으로 삼았다.

공격자는 이메일 등을 통해 이용자를 유인하는 글을 남기고 별도의 홈페이지 주소에 접속할 것을 유도한다. 이용자가 해당 홈페이지로 접속해 자신의 이메일 주소 및 비밀번호 등을 기재하면 그대로 공격자에게 정보가 털린다. 공격자는 실제 링크가 운영하는 페이스북 포스팅 내용을 모방해 피싱 공격을 가했다.

특히 이번에 눈에 띈 수법은 BitB(브라우저 인 더 브라우저) 방식이었다. 이를테면 기존에는 구글(google)이나 네이버(naver) 등 홈페이지 주소의 일부만 교묘히 바꾼 'g00gle' 'navar' 등의 유사 주소로 이용자를 현혹시켰다면 지금은 'google' 'naver' 그대로 주소를 쓰는 방식이다.

다만 BitB 공격이 감행되면 인터넷 브라우저 창에 별도의 팝업창이 뜨는 것처럼 보인다. 아이디, 비밀번호 인증용 별도 팝업창으로 오인하도록 만든 이 팝업창이 정보를 탈취해가는 연결고리가 된다.

GSC는 "팝업 로그인 창을 웹 브라우저 가장자리로 드래그(이동)시켜볼 것"을 권유했다. 만약 팝업창이 브라우즈 바깥으로 벗어나지 않는다면 해당 팝업창은 BitB 공격을 위한 가짜 팝업창이라는 게 GSC의 조언이다. 이제는 사이트 주소를 꼼꼼히 살펴보는 것만으로도 공격을 피하긴 어렵다는 것이다.

GSC는 "외관상 보여지는 URL(인터넷주소) 진위여부를 판단하는 데 보다 세심한 주의와 관심이 필요하다"며 웹 브라우저의 버튼이나 아이콘 등 구성 디자인 요소에 차이점이 없는지 면밀히 비교할 것을 권했다.

황국상 기자 gshwang@mt.co.kr