기즈모도, SC매거진 등 복수 해외 매체가 북한발 해킹 공격 소식을 전했다. 이번에는 구글 위협 분석 그룹(Threat Analysis Group)이 해킹 사실을 감지했다. 구글은 북한의 이번 해킹 공격이 매우 교묘한 수법을 이용해, 사이버 보안 전문가가 피해를 보았다고 밝혔다.
북한 해커가 어떤 수법을 사용했길래 사이버 보안 전문가가 해킹 사실을 눈치채지 못하고 당한 것일까? 구글이 공식 블로그를 통해 밝힌 북한 해커 집단의 해킹 방법을 설명한다.
해킹에 동원된 수단은 바로 '이것'!
구글의 설명에 따르면, 정체를 알 수 없는 북한 해커 집단이 사이버 보안 전문가를 속이기 위해 각종 소셜 엔지니어링을 이용했다.
일부 피해자에게는 트위터로 접근해, 비주얼 스튜디오 프로젝트에서 발견된 보안 취약점 연구에 협조하는 것처럼 행동했다. 이때, 해커는 악성 코드에 명령을 내리고 공격 행위를 원격으로 제어할 수 있도록 맞춤형 멀웨어 링크 라이브러리가 포함된 프로젝트를 퍼뜨렸다.
트위터 이외에 블로그도 해킹 수단으로 동원됐다. 가짜 사이버 보안 연구 블로그를 생성해, 보안 전문가의 연구에 적극적으로 협조하고 있다는 신뢰를 심어주었다. 그리고, 해커가 생성한 가짜 블로그 링크에 접속하면, 멀웨어를 설치하는 악성 링크가 퍼지도록 했다. 동시에 메모리 내장 백도어를 함께 사용해, 연구 기관에 피해를 주었다.
이와 관련, 구글은 조사 결과, 북한발 해킹 피해를 본 연구원 모두 보안 문제가 발생했을 당시 윈도10과 크롬을 사용한 사실도 함께 밝혔다.
전문가의 반응
사이버 보안 기업 시스코 탈로스(Cisco Talos) 소속 위협 연구원인 워렌 머서(Warren Mercer)는 시스코 탈로스 소속 연구원 다수가 북한의 해킹 공격을 당했다고 언급했다. 이어, 트위터, 블로그 등을 이용한 공격 수법에 주목하며, "해커가 완벽한 영어를 구사하면서 서양의 보안 연구원 다수가 근무하는 시간에 맞추어 접근해, 전문가가 관심을 갖는 보안 문제로 악성 링크 접속을 유도한 점에 주목할 만하다"라는 의견을 밝혔다.
보안 자동화 및 취약점 연구 단체인 퍼징IO(Fuzzing/IO)의 리차드 존슨(Richard Johnson)은 해커가 사이버 공격 개시에 사용한 계정으로 윈도 커넬 개념 증명을 받은 사실을 알렸다. 이어, 그는 다른 사이버 보안 연구원이 당한 수법과 똑같이 해커에게 트위터 메시지를 받았으며, 본격적인 해킹 공격 개시 전 텔레그램으로 이동할 것을 안내받았다고 설명했다.
또한, 그는 해커의 공격으로 피해를 보았다고 전하며, 해커가 보유한 가짜 블로그에 접속하는 것만으로도 악성 코드에 감염될 수 있다고 덧붙여 전했다.
한편, 북한에 본거지를 둔 해커 집단이 여러 사람에게 신뢰를 줄 수 있는 수단으로 해킹 공격을 개시한 것은 이번이 처음이 아니다. 지난해에는 악성 매크로가 숨겨진 워드 문서를 이용해 한국 정부 기관의 정보를 탈취하려 했다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
