[보안 따라잡기]`은밀하게 정교하게` 北 해킹공격, PC·스마트폰 `조심`

(그래픽=이스트시큐리티)

[이데일리 이후섭 기자] 최근 북한 정부를 배후로 둔 해킹조직의 공격이 외교·안보·국방·통일 분야에 종사하는 전문가에 집중되고 있다. PC에서는 특정 사이트 방문자를 노린 `워터링 홀` 공격으로, 스마트폰으로는 안드로이드 악성 앱을 뿌리는 등 타겟을 좁혀 은밀하고, 정교한 공격이 이뤄지고 있어 각별한 주의가 요구된다.

특정 IP·브라우저 노린 `워터링 홀` 공격으로 타겟 좁혀

1일 보안 전문기업 이스트시큐리티에 따르면 최근 방위산업체, 국책 연구기관, 외교·안보·통일·국방 전문가 등을 대상으로 한 사이버 공격이 집중되고 있다. 북한 정부와 공식적으로 연계된 것으로 알려진 해킹조직 `탈륨(Thallium)`과 `라자루스(Lazarus)`가 공격의 배후로 지목됐다.

이들은 이메일을 기반으로 한 스피어 피싱 뿐만 아니라 북한 관련 웹사이트에 방문하는 사람들만 악성코드에 감염시키는 방식의 워터링 홀 공격도 사용하고 있다. 워터링 홀은 육식동물이 물 웅덩이에 매복해 먹잇감을 기다리는 것처럼 공격 대상이 자주 방문하는 웹사이트에 미리 악성코드를 심어둔 뒤 접속을 기다리는 방식의 공격이다.

문종현 이스트시큐리티 시큐리티대응센터(ESRC)장은 “일반인은 잘 가지 않는, 전문 분야의 사람들이 정보를 찾거나 새로운 소식을 보기 위해 들어가는 웹사이트를 해킹하고, 해당 웹사이트에 들어오는 사람들만 악성 스크립트 명령에 노출시켜 감염시키는 방식”이라며 “치고 빠지는 방식의 은밀한 공격”이라고 설명했다.

워터링 홀 공격은 인터넷 익스플로러나 어도비 플래시 플레이어, 자바 프로그램 등의 취약점을 이용해 특정 조건이 성립돼야만 감염시키는 표적 공격을 행할 수가 있다. 특정 IP에 특정 브라우저를 써서 사용하는 경우만 감염시킬 수 있도록 타겟을 좁힐 수도 있다.

문 센터장은 “예를 들어 특정 언론사를 타겟으로 한다면 해당 언론사가 사용하는 IP 대역 정보를 미리 입수한 후, 해당 IP로 접근하는 사람들만 감염시키게 코드를 짜는 것”이라며 “공격 징후를 발견하기 어렵고 감염당한 사실도 알아채기 어렵다. 아무리 이메일을 조심해도 특정 웹사이트에 접근할 때 자기도 모르게 악성코드 파일에 감염될 수 있어 조심해야 한다”고 강조했다.

北 정보 주겠다며 접근해 악성 앱 유포…일거수일투족 노출

또 북한 해킹 조직들이 스마트폰을 해킹하기 위해 안드로이드 기반의 악성 앱을 유포한 정황도 발견됐다. 신분을 위장해 북한 관련 정보를 제보하겠다면서 텔레그램, 카카오톡, 시그널 등의 메신저로 접근한 후 보안 상 민감한 내용이니 보내주는 앱을 깔고 정보를 공유하자는 방식으로 앱 설치를 유도하는 것이다.

악성 앱을 깔면 통화내역 도청 뿐만 아니라 주소록 및 문자메시지 탈취 등 피해를 입을 수 있다. 한번 감염되면 일거수 일투족이 스마트폰을 통해 노출되는 것이다.

문 센터장은 “안드로이드는 공식 앱 마켓에 들어가지 않아도 문자메시지나, 인터넷주소(URL), 이메일로 받아서 깔 수 있다는 틈을 악용해 앱을 유포하고 있다”며 “악성 앱이 의심된다면 신고해 보안 전문가들이 차단하도록 해야 하지만, 일반인은 본인의 스마트폰이 악성 앱이 설치됐는지 알아차리기 어렵다”고 말했다.

평소 잘 작동하던 기능이 갑자기 잘 되지 않는 경우에 악성 앱 설치를 의심해 볼 필요가 있다. 문 센터장은 “지인의 스마트폰이 통화녹음 버튼을 눌러도 작동이 안 된다고 해 점검을 했더니 도청하는 악성 앱이 깔려있던 경우가 있었다”며 “이미 녹음기능이 백그라운드에서 작동하다 보니 녹음버튼을 또 눌러도 작동이 안 됐던 것이다. 통상 스마트폰은 24시간 켜져있어 주요 정보가 계속 유출될 위험이 높다”고 주의를 당부했다.