이메일 잘못 눌렀다가 구글 크롬 브라우저 해킹…北 ‘킴수키’ 신종 공격

국정원, 독일 당국과 보안 권고문 발표
구글 플레이 동기화 기능 악용해 스마트폰 자료 탈취

북한의 해킹 조직인 ‘킴수키(Kimsuky, 탈륨·벨벳·천리마 등으로도 불림)’가 신종 해킹 기법을 이용해 공격하고 있어 국가정보원이 보안 강화를 당부했다. 킴수키는 구글의 ‘크롬 브라우저’ 확장프로그램을 이용해 구글 메일(지메일)을 가로채는가 하면, 구글 플레이 동기화 기능을 이용해 스마트폰 자료를 탈취하기도 했다.

일러스트=정다운

국정원과 독일 연방헌법보호청(헌보청)은 20일 합동으로 북한 킴수키 해킹 조직이 지능화된 신종 사이버 공격을 벌이고 있다고 밝히고, 해킹 피해를 예방하기 위한 사이버 보안 권고문을 발표했다.

국정원과 독일 헌보청은 킴수키가 최근 사용자가 많은 구글 서비스를 악용하고 있다고 공개했다. 첫 번째 방법은 크롬 브라우저 확장 프로그램 악용이다. 해커는 ‘스피어피싱(특정 개인이나 회사를 공격 대상으로 미리 정하고 시도하는 해킹)’ 방법으로 악성 링크가 포함된 이메일을 피해자에게 발송해 크롬 브라우저에서 작동하는 악성 확장프로그램 설치를 유도한다. 피해자가 이 프로그램을 설치하면, 해커는 별도의 로그인 과정 없이 피해자의 이메일 내용을 실시간으로 가로챌 수 있게 된다.

앱스토어 ‘구글 플레이’ 동기화 기능을 악용해 스마트폰에 악성앱을 설치하는 방식도 동원되고 있다. 해커는 사전에 피싱메일 등으로 절취한 피해자의 구글 계정으로 PC에서 로그인한다. PC로 로그인 한 후에는 이후 구글 플레이 동기화 기능이 적용되고, 피해자가 별도로 조작하지 않고도 스마트폰에 자동으로 악성앱이 설치된다. 이후 피해자 스마트폰의 자료가 탈취된다.

국정원은 “북한 정찰총국과 연계된 킴수키의 최근 공격이 대부분 스피어피싱을 통해 이루어지고 있다”며 “사용자가 직접 ‘악성 이메일 판별 방법’을 배우고 의심스러운 이메일 수신시 유의사항을 준수해야 한다”고 했다. 국정원 백종욱 3차장은 “북한의 신종 해킹 활동에 대한 경각심을 갖고 일상생활에서 각별한 주의를 기울여달라”고 당부했다.

이날 발표된 권고문은 지난 2월 ‘한미 합동 사이버보안 권고문’에 이어 국정원이 해외 정보기관과 두 번째로 발표하는 합동 보안 권고문이다. 합동권고문 자세한 내용과 구체적인 피해예방법은 국정원과 국가사이버안보센터 홈페이지에서 확인할 수 있다.

- Copyright ⓒ 조선비즈 & Chosun.com -