대북 관계자 노린 해킹 시도 기승..북한 관련 의심

이스트시큐리티 제공

[이데일리 이재운 기자] 북한과 연계된 것으로 보이는 해킹 세력이 스마트폰에 대한 공격 시도를 벌이고 있어 주의가 요구된다. 네이버 등 유명 포털 업체를 사칭한 공격이다.

20일 이스트소프트(047560)의 보안 자회사 이스트시큐리티는 APT(지능형지속위협) 공격 그룹 ‘Geumseong121’이 안드로이드 기반 모바일 기기를 대상으로 한 스피어 피싱(Spear Phishing) 공격을 시도하는 정황을 확인했다고 밝혔다. 스피어피싱은 이메일을 통해 악성코드를 침투시키는 방식의 공격법이다.

이 그룹은 대북 단체와 국방 분야를 대상으로 주로 공격을 시도하며, 북한식 표현을 사용하고 있어 국내·외 주요 보안업체들로부터 북한과 연관성을 의심받고 있다.

새로 등장한 공격은 국내 업무 환경에 특화된 HWP(한글 워드프로세서) 문서 파일 취약점을 자주 사용하며, 지난해에는 카카오톡 메신저를 이용한 전파를 시도하기도 했다.

최근에는 특정 대상의 안드로이드 기반 모바일 기기를 겨냥한 스피어 피싱 공격을 수행한 정황이 새롭게 등장했다.

이스트시큐리티 시큐리티대응센터(ESRC) 분석에 따르면 공격자는 대북 관련 특정 대상에게 국내 유명 포털 사이트의 개인 정보 보안 위협이 발생한 것처럼 가짜 안내 메일을 발송하고, ‘네이버 백신 앱’으로 위장된 악성 APK 파일을 설치하도록 유도한다.

사용자가 이를 설치할 경우 ‘Naver Defender’라는 이름과 네이버 로고를 이용한 아이콘을 가진 앱이 설치돼 데이터 유출 등 악성 행위를 진행한다.

문종현 이스트시큐리티 이사는 “이번 공격은 안드로이드 기반의 악성 앱을 설치하도록 유도하는 특징이 있다”며 “이제는 APT 표적 공격이 PC 기반을 넘어 스마트 폰까지 노리는 추세이며, 악성 앱에 감염될 경우 주소록, 통화기록, 문자메시지, 등록계정, 통화녹음 등 민감한 정보가 유출될 가능성이 있기 때문에 각별한 주의가 요구된다”고 당부했다.

스피어피싱 이메일 화면 캡처. 이스트시큐리티 제공

악성코드 수행 파일. 이스트시큐리티 제공