Home > 전체기사
통일 정책분야 연구원 사칭한 해커조직 ‘금성121’의 ‘미인계 공격’ 발견
  |  입력 : 2020-05-08 11:25
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
특정 통일 정책분야 연구원으로 현혹해 대북 종사자 개인정보 수집
일상으로 파고드는 생활 밀착형 사이버 위협 활동 포착
미모의 여성 프로필 사진으로 등록된 카카오 톡으로 접근 후 해킹 시도
특정 정부와 연계된 것으로 알려진 ‘금성121’ APT 공격 조직의 소행으로 분석


[보안뉴스 원병철 기자] 최근 통일 정책분야 연구원으로 사칭해 대북분야 주요 인사들의 개인정보를 탈취하는 APT 공격이 발견돼 관계자들의 주의가 요구된다. 특히, 이번 공격은 단기간에 첨부파일이나 URL 링크 등을 이용하는 방식이 아닌 한 달 이상 친분을 쌓아가며 차분하게 공격한 점이나 미모의 여성 사진을 이용한 미인계를 사용하는 등 기존 공격과는 다른 패턴을 보인 것이 특징이다.

▲통일 정책분야 연구원으로 위장한 이메일 화면[자료=이스트시큐리티]


보안전문 기업 이스트시큐리티(대표 정상원)는 특정 정부가 연계된 것으로 알려진 사이버 위협 그룹 일명 ‘금성121(Geumseong121)’ 해커들이 새로운 공격 시나리오로 APT(지능형지속위협) 공격을 은밀히 수행하고 있다고 밝혔다. 금성121 그룹은 최근까지 다양한 해킹 사례의 배후로 지목되고 있으며, 라자루스(Lazarus), 김수키(Kimsuky), 코니(Konni) 등과 함께 대한민국을 주 무대로 활동하는 대표적인 위협 조직 중 하나다.

이스트시큐리티 ESRC(시큐리티대응센터)의 위협 분석 결과에 따르면, 이들은 통일정책 분야의 연구원으로 위장해 공격 대상의 스마트폰 전화번호 등 개인정보를 1차 수집하고 일정 기간 후 상대방과 성별이 다른 카카오톡 프로필을 만들어 해킹을 시도하고 있다. 만약 공격 대상자가 남성일 경우에는 미모의 여성 사진과 이름으로 접근해 소위 미인계 작전으로 현혹해 사이버 위협을 가하고 있는 것으로 분석됐다.

해커는 먼저 대북 분야에서 활동하는 주요 인사들을 선별하고, 이들에게 자신이 통일 정책 분야의 기관에 새로 근무하게 된 여성 선임연구원처럼 사칭한 가짜 소개 이메일을 보낸다. 해당 이메일에는 기존 스피어피싱 공격처럼 별도의 악성 파일이나 위험한 URL 링크를 포함하지 않고 평범한 소개 및 인사 내용만을 담고 있어 해킹 의심을 최소화한다. 하지만 이메일을 수신한 다수의 사람에게 확인차 회신을 요청하고, 일부 답신한 사람들에게 연락 목적으로 전화번호 등을 요구한다.

이런 일반적인 이메일 소통 과정을 통해 공격 대상자의 스마트폰 전화번호를 확보하고, 일정 기간이 지난 다음 가상의 새로운 인물로 위장해 카카오톡으로 은밀히 접근을 시도한다. 카카오톡으로 연결된 해커는 최소 1달 이상 극히 일상적인 대화와 정상적인 사진, 문서 파일 등을 여러 차례 공유하며 최대한 의심을 피하며 대화를 지속한다. 이를 통해 자신이 보낸 파일은 전혀 보안위협이 되지 않는 것처럼 위장하고, 점차 신뢰하도록 장기간 치밀한 과정을 거친다.

이러한 생활 밀착형 개인 소통을 통해 어느 정도 친밀감을 높이고 안심했다고 생각하는 시점에 해커는 드디어 본색을 드러내고, 위협요소가 포함된 자료를 전달해 해킹을 본격적으로 수행하게 된다. 이처럼 온라인상 불특정 인물과 인맥을 맺는데 있어 각별한 보안 주의가 필요해 보인다.

ESRC는 “특정 정부 후원을 받는 금성121 조직은 PC기반 공격뿐만 아니라 스마트폰을 타깃으로 다양한 형태의 APT 공격을 시기적절하게 수행하고 있다”며, “중장기적인 플랜과 시간을 두고 맞춤형 APT 공격을 수행하고 있다”고 설명했다.

실제로 이 조직은 지난 3월 ‘오퍼레이션 스파이 클라우드(Operation Spy Cloud)’ APT 공격을 통해 외교, 통일, 안보분야 종사자나 대북관련 단체장, 탈북민을 겨냥한 위협을 가속화 중인 것이 알려진 바 있고, 웹 서버를 직접 디자인해 구축하는 등 갈수록 치밀하고 과감한 위협 시나리오를 펼쳐나가고 있다. 특히, 구글 플레이 공식 앱 마켓이나 유튜브를 통한 신뢰 기반의 공격 대담성은 다른 APT 조직에서 흔히 보기 어려운 독특함을 지니고 있다.

ESRC 센터장 문종현 이사는 “금성121 조직은 한국의 정치적인 상황과 맞물려 통일 및 대북 관계자를 겨냥한 대표적인 위협 배후로 다양한 모바일 서비스를 활용한 위협 활동을 지속하고 있다”며, “최근까지 모바일 기반으로 공격 대상자를 선별해 진행하고 있어 모르는 사람이 대화를 시도해 올 경우 함부로 친구관계를 맺지 않도록 하고, 반드시 별도의 신분 확인 절차와 보안의식 생활화가 필요하다”고 밝혔다. 또한, 문 이사는 “금성121은 최근까지 매우 활발한 위협 활동의 중심에 서 있는 조직으로 다년간 대한민국을 상대로 여전히 APT 공격을 수행 중”이라며, “따라서 체계적인 연구와 대응 노력이 필요하다”고 강조했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)