지니언스 시큐리티 센터 “北 해커조직, 유명 북한인권단체 사칭 사이트로 개인정보 탈취”

일러스트=손민균

북한 해커 조직이 탈북민 등의 개인정보 탈취를 목적으로 저명한 북한 인권 단체를 가장한 피싱 사이트를 만든 것으로 나타났다.

1일 지니언스 시큐리티 센터에 따르면 북한 해커조직 ‘APT37′은 7월 24일 미국 소재 비영리단체(NPO) ‘리버티 인 노스코리아’(LiNK·링크)의 북한 인권 활동 지원 프로그램 안내문으로 위장한 이메일을 대북 활동가들에게 보냈다. 이메일은 리버티 인 노스코리아가 실제 운영하는 ‘체인지메이커 활동 지원금 프로그램’ 참가자를 모집한다는 내용으로, 자세한 사항은 홈페이지를 참고하라는 식으로 탈북민과 유관 단체 관계자들을 유인했다. 이메일 하단 홈페이지 링크를 클릭하면 피싱용 도메인으로 연결되며, 여기에 정보를 입력하면 이를 공격자 그룹이 탈취하는 구조다.

지니언스 시큐리티 센터가 거점 서버 흐름을 추적한 결과, 북한 해커그룹인 APT37의 인프라로 연결된 것으로 확인됐다. 이 해커 조직은 기밀정보 수집을 주목적으로 하며, ‘금성121′, ‘스카크러프트’, ‘레드아이즈’, ‘그룹123′ 등으로도 알려졌다. APT37이 공격 거점으로 쓸 도메인과 웹 서버를 직접 구축했으며, 웹 브라우저 내부에 인증 용도로 조작된 팝업 창을 추가로 집어넣는 ‘브라우저 인 더 브라우저’라는 피싱 수법을 사용했다고 지니언스는 전했다. 또 대북 전문가의 일상생활 감시와 개인정보 탈취에 목적을 둔 사이버 첩보전으로 파악했다.

보고서는 “외관상 보이는 URL 주소를 믿고 접근해 함부로 개인정보를 입력하면 예기치 못한 위협에 노출될 수 있다”면서 “팝업 창이 브라우저 화면 밖으로 옮겨지지 않는다면 실제 창이 아니라는 점을 유의하라”고 당부했다. 또 “본인이 사용하는 웹 브라우저의 사용자 환경(UI)과 일관된 디자인을 유지하는지도 확인하는 것이 중요하다”고 강조했다.

- Copyright ⓒ 조선비즈 & Chosun.com -