통일정책 관련 기관의 연구원을 가장해 해킹을 하려고 시도하는 이메일이 등장해 주의가 요구된다.

5월 8일 이스트시큐리티 시큐리티대응센터(ESRC)는 “최근 특정 정부가 연계된 것으로 알려진 사이버 위협 그룹 일명 ‘금성121(Geumseong121)’ 해커들이 새로운 공격 시나리오로 지능형지속위협(APT) 공격을 시도한 정황이 포착돼 주의가 요구된다”고 밝혔다.

ESRC는 해커들이 통일정책 분야의 연구원으로 변장해 공격 대상의 스마트폰 전화번호 등 개인정보를 1차 수집하고 일정 기간 후 상대방과 성별이 다른 카카오톡 프로필을 만들어 해킹을 시도하고 있음이 확인됐다“고 설명했다. 만약 공격 대상자가 남성일 경우에는 미모의 여성 사진과 이름으로 접근해 공격을 진행한 것으로 알려졌다.

ESRC는 공격자가 우선 대북 분야에서 활동하는 주요 인사들을 선별하고 이들에게 자신이 통일 정책 분야의 기관에 새로 근무하게 된 여성 선임연구원처럼 사칭한 가짜 소개 이메일을 보낸다고 지적했다. 해당 이메일에는 기존 스피어피싱 공격처럼 별도의 악성 파일이나 위험한 URL 링크를 포함하지 않고 평범한 소개 및 인사 내용만을 담고 있어 메일 수신자로 하여금 해킹 의심을 최소화하고 있다고 한다. 그러나 이후 이메일을 수신한 다수의 사람에게 확인차 회신을 요청하고 일부 답신한 사람들에게 연락 목적으로 전화번호 등을 요구한다는 것이다.

이런 일반적인 이메일 소통 과정을 통해 공격 대상자의 스마트폰 전화번호를 확보하고, 일정 기간이 지난 다음 가상의 새로운 인물로 위장해 카카오톡으로 은밀히 접근을 시도한다.

카카오톡을 통해 공격 대상자와 접촉한 공격자는 최소 1달 이상 극히 일상적인 대화와 정상적인 사진, 문서 파일 등을 여러 차례 공유하며 최대한 의심을 피하며 대화를 지속하는 것이 특징이다. 이를 통해 자신이 보낸 파일은 전혀 보안 위협이 되지 않는 것처럼 위장하고, 점차 신뢰하도록 장기간 치밀한 과정을 거치게 된다는 것이다.

ESRC는 온라인상 불특정 인물과 인맥을 맺는데 있어 각별히 주의가 필요해 보인다며 금성121 조직은 기존의 PC 기반 공격뿐만 아니라 스마트폰을 활용해 다양한 형태의 APT 공격을 시기적절하게 수행하고 있으며, 1회성이 아닌 중장기적인 플랜과 시간을 두고 맞춤형 APT 공격을 수행하고 있는 것으로 판단된다고 설명했다.

강진규 기자  maddog@nkeconomy.com