“북, 코로나19 관련 해킹 지속”

워싱턴-이경하 rheek@rfa.org
2021-03-18
Share
“북, 코로나19 관련 해킹 지속” 한국의 민간 컴퓨터 보안업체인 이스트시큐리티(ESTSecurity)는 18일 지난 12일 악성코드 공유사이트인 ‘바이러스토탈’(virustotal)에 화이자 백신의 악성 워드문서가 발견됐다고 18일 밝혔다.
/트위터 캡쳐

앵커: 북한의 사이버 공격 조직이 코로나 19 백신과 치료제 정보를 탈취하기 위해 정교한 수법을 이용해 지속적으로 사이버 공격을 감행하고 있는 것으로 조사됐습니다. 이경하 기자가 보도합니다.

이스라엘에 본부를 둔 다국적 사이버 보안 업체인 ‘체크포인트’(Check Point)는 18일 ‘사이버 보안 보고서 2021’(Cyber Security Report 2021)를 공개했습니다.

보고서는 코로나19 백신, 치료제 개발과 관련된 기관들을 대상으로 한 북한 라자루스 조직의 사이버 공격이 증가하고 있다고 지적했습니다.

북한 해킹 조직인 ‘라자루스’는 2017년 5월, 전 세계 150여 개국 30여 만대의 컴퓨터를 강타한 ‘워너크라이’ 랜섬웨어 공격의 배후로 알려져 있으며, 지난 2018년 9월 미국 정부가 처음으로 해커 이름과 얼굴까지 공개한 북한 해커 박진혁이 소속된 조직입니다.

특히 보고서는 최근 북한의 라자루스가 ‘비싱’(Vishing)이라는 신종 해킹 수법을 새롭게 사용하는 것으로 파악됐다고 지적했습니다.

‘비싱’이란 피해자와 같은 회사의 보안 직원 등으로 위장해 직접 전화를 걸어, 개인 신상 정보나 금융정보, 비밀번호 등을 불법으로 알아내는 행위입니다.

보고서에 따르면 ‘라자루스’는 코로나19로 원격, 재택 근무가 증가함에 따라 회사 직원들의 이름, 집 주소, 전화번호, 직위 등 공개된 자료를 수집하고 있습니다.

정보 수집이 끝나면 북한 해커들은 임의의 인터넷 전화 등을 사용해 공격 대상이 된 직원의 휴대폰으로 직접 전화를 걸어, 정보기술(IT) 부서 직원 등으로 가장해 신뢰를 얻어 개인 정보를 탈취하는 인터넷 링크나 가짜 응용프로그램(application)을 설치하게 합니다.

이후 최근 재택 근무 환경에서 쓰이고 있는 ‘2차 인증’(Two-factor authentication) 암호가 인터넷 링크나 가짜 응용프로그램을 통해 북한 해커에 전송돼 피해자의 계정들이 탈취되고 있습니다. 이와 관련, 미국 민간연구기관인 민주주의수호재단(FDD)의 사이버전문가인 매튜 하 연구원은 18일 자유아시아방송(RFA)에 북한 해커들이 코로나19 백신, 치료제에 초점을 맞춰, 새로운 보안 취약성을 지속적으로 연구해 공격을 감행하고 있다고 밝혔습니다.

그러면서 하 연구원은 지난해 초 네덜란드 보안업체 ‘산섹’(Sansec)에 따르면, ‘비싱’ 뿐만 아니라 북한이 ‘디지털스키밍’, 즉 신용카드나 현금카드 등의 고유 정보를 부정한 방법으로 갈취해 사용하는 범죄행위 등을 비롯해 피해자들과 적극적으로 접촉해 공격하는 경향을 보이고 있다고 지적했습니다.

하 연구원: 북한 해커들은 과거에도 소매업체들에 대한 자료를 훔치기 위해 잠재 고객과 접촉을 시도하기도 했습니다.

이런 가운데, ‘라자루스’ 조직의 악성 파일이 ‘화이자’(Pfizer) 백신의 악성 워드문서(Doc) 문서로 위장된 정황이 포착됐습니다.

한국의 민간 컴퓨터 보안업체인 이스트시큐리티(ESTSecurity)는 18일 지난 12일 악성코드 공유사이트인 ‘바이러스토탈’(virustotal)에 화이자 백신의 악성 워드문서가 발견됐다고 18일 밝혔습니다.

이 업체에 따르면 이번에 발견된 이 악성 문서는 기존 ‘라자루스’의 악성문서와 동일한 명령제어 서버(C&C) 주소를 사용하는 것으로 확인됐습니다.

이와 관련, 이스트시큐리티 시큐리티대응센터(ESRC) 문종현 이사는 18일 자유아시아방송(RFA)에 “지난 12일 새벽 악성파일 분석 서비스인 ‘바이러스 토탈사이트’에 화이자 백신 관련 악성 워드 문서가 2종 발견됐다”고 밝혔습니다.

그러면서 문 이사는 지난해 8월 제작된 전형적인 ‘라자루스’ 조직의 ‘직무기술서’(Job Description)를 사칭한 악성문서와 명령제어 서버 주소('dronerc[.]it')가 동일한 것으로 분석됐다고 지적했습니다.

지난해 8월 제작된 직무기술서 사칭 문서들은 라자루스가 제작하고, 해외 방위산업체를 대상으로 공격했던 것으로 알려졌습니다.

댓글 달기

아래 양식으로 댓글을 작성해 주십시오. Comments are moderated.

원본 사이트 보기