북한 연계추정 해킹조직, 경찰 및 가상화폐거래소 사칭하여 공격 ‘주의’ [과학it슈]

[시선뉴스 이호] 모르는 곳에서 온 이메일은 가급적 열지 않도록 하자. 북한과 연계된 것으로 추정되는 해킹조직이 한국 가상화폐(암호화폐) 거래소와 경찰청을 사칭하여 사이버 공격을 벌였다는 정황이 포착되었다. 

이스트시큐리티 시큐리티대응센터(ESRC) 블로그는 유명 암호화폐 거래소 업비트의 이벤트 경품 수령 안내로 사칭한 지능형지속위협(APT) 공격이 이날 포착되었다고 밝혔다. 

ESRC는 공격 배후에 북한 배후설이 제기되는 해킹조직인 '김수키'(Kimsuky)가 있는 것으로 확신하고 있다. 이 조직은 안보·외교·통일 관련 분야의 정보를 노리는 것으로 알려져 있다. 

이들이 보내는 스피어 피싱 이메일은 발신지가 한국의 유명 암호화폐 거래소인 것처럼 조작돼 있지만 실제 이메일이 발신된 곳은 해외 호스팅 서버이며 이메일 안에는 '이벤트 당첨자 개인정보 수집 및 이용 동의 안내서.hwp'라는 제목의 악성문서 파일이 첨부되어 있다. 

해당 첨부파일을 열면 특정 명령제어 서버로 접속해 추가 악성 파일을 다운로드하여 심는 것으로 알려졌다. 

또 가상화폐 민원안내 내용으로 경찰청을 사칭한 스피어 피싱 공격도 포착됐는데 이 역시 김수키 조직이 연루된 것으로 추정된다.

이메일은 별 생각 없이 받으면 가상화폐 해킹 문의와 관련한 경찰청 사이버안전국의 답변처럼 정교하게 조작됐고, 경찰서에서 컴퓨터 검사 프로그램을 보내는 것처럼 구성되었기 때문에 특히 주의해야 한다. 

첨부된 압축 파일 '사이버안전국.egg'를 실행하면 악성 파일이 구동되며, 감염자 정보 등을 수집해 저장한 뒤 공격자가 지정한 특정 한메일 계정으로 은밀하게 정보를 전송하는 것으로 알려졌다. 

ESRC는 최근 비트코인이 1천만원 선을 돌파한 가운데 특정 정부의 지원을 받는 위협조직들의 활동이 증가하고 있다며 특정 정부의 후원과 지시를 받아 활동하는 위협조직들이 외화벌이 목적으로 추정되는 공격에도 가담하고 있어 각별한 주의가 필요하다고 설명했다.

정부기관이나 사은품에 당첨됐다는 이벤트 메일을 보면 으레 열어보기 마련이지만 그 메일을 보내기 전에 그런 내용들이 현재 자신과 관련이 있는지를 먼저 생각해보자. 이들은 온갖 방법을 통해 혹하게 만들려는 목적이 있으므로 뜬금없이 좋은 내용이나 겁을 주는 내용의 메일을 받는다면, 나에게 온 것이 아니라는 생각을 하는 것이 좋을 것이다.