北, 탈북자·북한 인권 관련 단체 도용해 홈페이지 피싱 공격…“URL 진위여부 반드시 확인해야”

정재우 2023. 9. 4. 13:45
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기

북한 연계 해킹 집단이 공격용으로 발송한 메일 본문에 가짜 페이스북 페이지 화면 캡처본이 첨부돼있다. ‘링크’는 탈북민 및 북한 인권에 대한 여러 활동을 펼치는 국제 비정부단체다. 지니언스 시큐리티 센터 제공

북한 연계 해킹 집단이 공격용으로 발송한 메일 본문에 가짜 페이스북 페이지 화면 캡처본이 첨부돼있다. ‘링크’는 탈북민 및 북한 인권에 대한 여러 활동을 펼치는 국제 비정부단체다. 지니언스 시큐리티 센터 제공
 
북한이 대한민국 내 대북 관련 활동 단체를 위장한 공격용 사이트를 개설해 주의가 요구된다.

인터넷 보안업체 지니언스 시큐리티 센터(Genians Security Center·이하 GSC)는 지난 1일 ‘위협 분석 보고서 - 한국 내 대북분야 종사자를 겨냥한 고도화된 BitB 공격 등장’이라는 제목의 보고서를 발행했다.

보고서에서 GSC는 “지난 7월 24일 북한 연계 해킹그룹의 소행으로 분류된 새로운 공격 징후를 포착했다”며 “이번 위협은 국내외 대북 전문가의 일상생활 감시와 개인 정보 탈취에 목적을 둔 사이버 첩보전의 일환으로 보고 있다”고 밝혔다.

GSC는 “공격자는 국제 비정부단체인 ‘링크’(LiNK·Liberty in North Korea)에서 실제로 진행중인 ‘체인지메이커 활동 지원금 프로그램’ 모집 내용을 교묘히 사칭했다”며 “북한 출신 활동가를 대상으로 하고 있으며, 지원 기한을 26일로 촉박하게 설정해 공격 대상자를 현혹시키고 있다”고 분석했다.

보고서에 따르면, 지난 7월 7일 ‘링크’ 명의로 개설된 페이스북 페이지에서는 “모든 북한 사람들이 자유롭게 사는 세상을 우리 생애 내 실현하고자 체인지메이커 활동 지원금 프로그램 참가자를 모집한다”면서, 대북 지원 의사가 뚜렷하거나 북한 인권 및 탈북자 관련 활동을 하는 사람을 지원 자격으로 설정하고 있다. 신청 기한은 7월 26일까지이며, 지원금은 매월 50만원 씩 12개월 지급된다고 명시돼있다. 

공격용 ‘링크’ 사칭 페이스북 페이지. 지니언스 시큐리티 센터 제공

공격용 ‘링크’ 사칭 페이스북 페이지. 지니언스 시큐리티 센터 제공
 
하지만 GSC는 이 게시물이 공격용 피싱 게시물이라고 파악하고 있다.

GSC는 “공격자는 다수의 탈북민 및 대북단체를 상대로 공격을 수행했다”며 “특히 일반적으로 많이 쓰이는 SSO(Single Sign-On) 단일 인증 방식을 공격에 접목시켰다”고 소개했다.

SSO 단일 인증 방식은 1회의 사용자 인증으로 다수의 애플리케이션 및 웹사이트에 대한 사용자 로그인을 허용하는 인증 솔루션이다. 이 방식을 이용하면 사용자는 자격 증명을 1회만 거친 뒤, 연결된 다른 페이지에서 로그인 절차 없이 모든 암호 체계를 통과할 수 있게 된다.

GSC는 “공격 거점으로 사용할 피싱용 도메인과 웹 서버를 직접 구축해 ‘BitB’(Browser In The Browser) 공격 기술을 사용했다”며 “BitB 기술은 웹 브라우저 내부에 인증 용도로 조작된 또 다른 팝업 창을 추가로 보여주는 피싱 수법이다. 웹 브라우저 화면과 URL 내용을 신뢰 가능한 주소처럼 보이게 디자인했으며, 출력된 화면만을 믿고 비밀번호를 입력할 경우 해킹 피해를 입게 된다”고 설명했다.

공격용 메일 본문에 첨부된 URL 주소에 대해서는 “‘libertynorthkorea.org’ 주소가 사용됐으나 정상 사이트 주소와 다르다”며 “정상 사이트에서는 도메인 중간에 ‘in’ 단어가 포함된 ‘libertyinnorthkorea.org’ 주소를 사용한다”고 지적했다.

대북 단체 ‘링크’의 실제 페이지(왼쪽) 화면과 북한 연계 해킹 집단이 생성한 공격용 페이지 화면. 공격용 페이지 도메인에는 ‘in’이 빠져있다. 지니언스 시큐리티 센터 제공

대북 단체 ‘링크’의 실제 페이지(왼쪽) 화면과 북한 연계 해킹 집단이 생성한 공격용 페이지 화면. 공격용 페이지 도메인에는 ‘in’이 빠져있다. 지니언스 시큐리티 센터 제공
 
GSC는 URL 접속 후 출력되는 팝업 창에 대해서도 경고했다. 팝업 창에는 ‘활동 참가를 위해 로그인해달라’는 문구와 함께 아이디와 비밀번호를 입력하는 공란이 생성된다. 아울러 하단에 네이버, 카카오, 구글, 애플 등 계정과 연계 로그인이 가능한 버튼도 나타난다.

GSC는 “이메일 혹은 아이디와 비밀번호 수동 입력을 통한 직접적 로그인 계정 탈취 방식을 사용하고 있다”며 “네이버, 카카오, 구글, 애플 등의 계정이 선택적으로 유출될 수 있는 방식이다. SSO 통합적 단일 인증 방식을 통해 로그인을 유도하고 있다”고 경고했다.

특히 네이버, 카카오, 구글, 애플 로그인 시도시 생성되는 화면들에 대해서는 “각 팝업 로그인 창에 삽입된 URL 주소에는 실제 공식 회사의 도메인 사이트 주소가 포함돼있다”며 “단순히 영어 알파벳을 유사하게 만든 전형적인 웹 피싱 기법과 다르게 정상 인터넷 주소가 보이도록 조작한 것이 핵심”이라고 강조했다.

팝업 창으로 생성된 네이버, 카카오, 구글, 애플 로그인 화면. 이중 구글 로그인 화면의 URL 말미에는 슬러시(/)가 빠져있다(붉은색 박스). 지니언스 시큐리티 센터 제공

팝업 창으로 생성된 네이버, 카카오, 구글, 애플 로그인 화면. 이중 구글 로그인 화면의 URL 말미에는 슬러시(/)가 빠져있다(붉은색 박스). 지니언스 시큐리티 센터 제공
 
GSC는 URL 진위 여부 구별법에 대해 “구글 피싱 사이트의 경우 주소 가장 끝단의 슬래시(/) 부분 일부가 잘려져있다”며 “BitB 주소 창 영역의 페이지 공유 및 탭 북마크 추가 아이콘이 보이지 않을 수도 있다. 팝업 로그인 창이 웹 브라우저 화면 바깥으로 벗어나는지 드래그(이동)해보는 것도 확인 방법의 하나”라고 전했다.

끝으로 GSC는 “외관상 보여지는 URL 주소의 진위여부를 판단하는데 보다 세심한 주의와 관심이 필요하다”며 “육안상 인지된 주소만을 믿고 접근해 함부로 개인정보를 입력할 경우 예기치 못한 위협에 노출될 가능성이 높다”고 재차 당부했다.

정재우 온라인 뉴스 기자 wampc@segye.com

Copyright © 세계일보. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?
세계일보에서 직접 확인하세요. 해당 언론사로 이동합니다.