北해커, IT구직자 노린 가짜 기술평가 포털 구축

보안기술 발전으로 개인정보 탈취 전략 변화

(지디넷코리아=남혁우 기자)북한의 해킹조직이 IT개발자의 개인정보를 노린 가짜 기술평가 포털을 구축해 사용에 주의가 요구되고 있다.

11일(현지시간) 해커뉴스 등 외신에 따르면 마이크로소프트(MS) 위협 인텔리전스 팀은 지난 몇주간 사파이어슬릿(Sapphire Sleet)이라는 해킹조직에서 가짜 기술평가 포털을 지속해서 만드는 것을 확인했다고 밝혔다.

사파이어슬릿은 북한 군사정보기관인 정찰총국 소속 라자러스그룹의 산하조직으로 알려져 있다. 이들은 APT38, 블루노로프, 케이지카멜레온, 크립토코어라고도 불리며 자금확보를 위한 가상화폐 탈취 공격 담당으로 주로 가상화폐 관련 전문가를 노린 공격을 수행해왔다.

(이미지=마이크로소프트)

마이크로소프트 측은 이번 사파이어슬릿의 행동을 분석하며 공격 전략에 변화가 생겼다고 설명했다.

기존 사파이어슬릿은 개발자의 개인정보 탈취를 위해 악성코드가 포함된 이메일을 직접 보내거나 깃허브, 링크드인 등에 공개된 페이지링크를 통해 접근했다.

하지만 이제는 기술평가 포털로 위장한 자체 웹 사이트를 직접 구축해 개발자 정보를 수집하는 방식으로 전략을 변경했다. 이런 사이트는 외적으로 합법적인 것처럼 위장해 채용 담당자와 개발자에게 신뢰감을 제공하며 사용자를 끌어 모았다.

사파이어슬릿은 해당 포털을 통해 개발자 네트워크를 구축하며 정보를 수집할 뿐 아니라 악성 코드를 배포해왔다. 또한 이런 행동이 발각되지 않도록 내용을 암호화해 보호한 것으로 나타났다.

마이크로소프트 측은 북한 해킹그룹의 전략 변화에 대해 높아진 보안 시스템 등으로 인한 것으로 분석했다. 메일에 포함된 악성코드 등이 손쉽게 발각되면서 더 이상 기존 방식을 사용하기 어려워졌기 때문이라는 설명이다.

더불어 보안기술의 발전만큼 사이버위협도 끊임없이 변화하는 만큼 조직은 새로운 전략에 대해 경계심을 유지해야 한다고 지적했다. 이를 위해 보안관련 직원 교육을 꾸준히 진행하고 위협을 효과적으로 감지하고 완화하기 보안 조치를 마련해야 한다고 조언했다.

남혁우 기자(firstblood@zdnet.co.kr)