美 보안 전문지 “네이버 가짜 로그인 창, 배후는 김수키” 지목

“김수키 ‘TRANSLATEXT’ 활용 악성 파일 주입”
“국가기관도 침투…중국 APT와 연계 가능성”

네이버 간편 로그인 화면 [네이버 밴드 캡처]

[헤럴드경제=차민주 기자] 네이버가 간편 로그인 시 ‘가짜 로그인 페이지’ 활용한 신종 피싱에 주의를 당부한 가운데, 미국 보안 전문지가 피싱 배후로 북한 해킹 그룹 김수키를 지목했다. 해당 전문지는 김수키가 동일한 해킹 방식으로 국군방첩사령부 등 국가 기관의 정보까지 탈취하고 있다고 주장했다.

15일 업계에 따르면 미국 보안 전문지 ‘프랙’은 네이버의 ‘가짜 로그인 페이지’ 활용 피싱의 배후로 김수키를 지목했다. 아울러 중국 지능형지속공격(APT) 그룹과의 연계 가능성도 열어뒀다.

앞서 지난달 28일 네이버는 공지를 통해 간편 로그인 시 가짜 로그인 페이지를 활용한 신종 피싱 사례가 발견됐다고 밝혔다. 간편 로그인은 각종 홈페이지에 로그인할 때 새 계정을 만들 필요 없이 ‘네이버 아이디로 로그인’ 버튼을 누르면 접속할 수 있는 기능이다.

이번 피싱은 사용자가 가짜 로그인 창에 정보를 입력하면, 곧바로 로그인 오류 페이지로 연결돼 계정 정보 유출을 인지하기 어려운 게 특징이다. 네이버는 “사용자 화면에 실제와 거의 똑같이 생긴 가짜 네이버 로그인 창이 나타나, 사용자는 의심 없이 아이디와 비밀번호를 입력하게 된다”며 “사용자에게 로그인 실패 알림이 뜨거나 페이지 새로고침 되면서 ‘진짜’ 네이버 로그인 창이 나타나, 사용자가 일시적 오류로 착각하기 쉽다”고 했다.

네이버 사옥 사진 [연합]

해커 세이버(Saber)는 지난달 프랙에 발표한 보고서 ‘APT Down-The North Korea Files’를 통해 공격자가 지난 2024년 김수키가 개발한 크롬 확장 프로그램 ‘TRANSLATEXT’를 활용, 네이버 로그인 페이지에 악성 스크립트를 주입했다고 설명했다. 네이버가 공지에서 언급했듯, 사용자가 정보를 입력하면 로그인 오류 페이지가 나타나는 방식이 동일하게 나타났다.

네이버는 실제 사용자 정보 탈취 사례가 확인되지 않아 정부에 신고하지 않았단 입장이다. 네이버 관계자는 “간편 로그인 신종 피싱 관련해 별도 탈취 사례가 보고된 바는 없다”며 “김수키 등 지속해서 언급되는 공격자에 대해서는 내부적으로 계속 주시하고 있다”고 했다.

네이버가 공지사항을 통해 밝힌 ‘간편 로그인’ 피싱 예시 [네이버 고객센터 공지사항 캡처]

프랙에 따르면 ‘가짜 로그인 페이지’ 해킹 방식은 네이버뿐만 아닌 국가 기관에도 침투했다. 세이버는 같은 해킹 방식으로 국군방첩사령부 직원의 공인인증서 비밀번호가 탈취됐다고 주장했다. 세이버는 “해커는 가짜 로그인 페이지를 만들어서 아이디와 비밀번호를 훔친다”며 “피해자가 로그인 정보를 입력한 이후에는 피싱 사이트에서 벗어나 정상 인터넷 식별자(URI)로 최종 리디렉션된다”고 했다. 그러면서 “해당 URI는 항상 로그인 오류를 발생시킨다”고 했다.

아울러 세이버는 TRANSLATEXT 개발자가 김수키인 것을 언급하면서 피싱 배후로 김수키를 지목했다. 지난 2024년 미국 보안 기업 지스케일러는 보고서 ‘김수키, 한국 학계를 표적으로 TRANSLATEXT 도입’을 통해 김수키가 TRANSLATEXT를 개발했다고 밝힌 바 있다.

이어 중국 APT와의 연계 가능성도 언급했다. 세이버는 “공격자는 구글을 이용해 한국어를 중국어 간체로 번역하고 있다”며 “공격자가 중국 단오절인 5월 31일부터 6월 2일까지 근무하지 않은 것으로 미뤄볼 때, 중국인인 것으로 짐작된다”고 했다.