|
특정 IP·브라우저 노린 `워터링 홀` 공격으로 타겟 좁혀
1일 보안 전문기업 이스트시큐리티에 따르면 최근 방위산업체, 국책 연구기관, 외교·안보·통일·국방 전문가 등을 대상으로 한 사이버 공격이 집중되고 있다. 북한 정부와 공식적으로 연계된 것으로 알려진 해킹조직 `탈륨(Thallium)`과 `라자루스(Lazarus)`가 공격의 배후로 지목됐다.
이들은 이메일을 기반으로 한 스피어 피싱 뿐만 아니라 북한 관련 웹사이트에 방문하는 사람들만 악성코드에 감염시키는 방식의 워터링 홀 공격도 사용하고 있다. 워터링 홀은 육식동물이 물 웅덩이에 매복해 먹잇감을 기다리는 것처럼 공격 대상이 자주 방문하는 웹사이트에 미리 악성코드를 심어둔 뒤 접속을 기다리는 방식의 공격이다.
문종현 이스트시큐리티 시큐리티대응센터(ESRC)장은 “일반인은 잘 가지 않는, 전문 분야의 사람들이 정보를 찾거나 새로운 소식을 보기 위해 들어가는 웹사이트를 해킹하고, 해당 웹사이트에 들어오는 사람들만 악성 스크립트 명령에 노출시켜 감염시키는 방식”이라며 “치고 빠지는 방식의 은밀한 공격”이라고 설명했다.
문 센터장은 “예를 들어 특정 언론사를 타겟으로 한다면 해당 언론사가 사용하는 IP 대역 정보를 미리 입수한 후, 해당 IP로 접근하는 사람들만 감염시키게 코드를 짜는 것”이라며 “공격 징후를 발견하기 어렵고 감염당한 사실도 알아채기 어렵다. 아무리 이메일을 조심해도 특정 웹사이트에 접근할 때 자기도 모르게 악성코드 파일에 감염될 수 있어 조심해야 한다”고 강조했다.
北 정보 주겠다며 접근해 악성 앱 유포…일거수일투족 노출
또 북한 해킹 조직들이 스마트폰을 해킹하기 위해 안드로이드 기반의 악성 앱을 유포한 정황도 발견됐다. 신분을 위장해 북한 관련 정보를 제보하겠다면서 텔레그램, 카카오톡, 시그널 등의 메신저로 접근한 후 보안 상 민감한 내용이니 보내주는 앱을 깔고 정보를 공유하자는 방식으로 앱 설치를 유도하는 것이다.
악성 앱을 깔면 통화내역 도청 뿐만 아니라 주소록 및 문자메시지 탈취 등 피해를 입을 수 있다. 한번 감염되면 일거수 일투족이 스마트폰을 통해 노출되는 것이다.
평소 잘 작동하던 기능이 갑자기 잘 되지 않는 경우에 악성 앱 설치를 의심해 볼 필요가 있다. 문 센터장은 “지인의 스마트폰이 통화녹음 버튼을 눌러도 작동이 안 된다고 해 점검을 했더니 도청하는 악성 앱이 깔려있던 경우가 있었다”며 “이미 녹음기능이 백그라운드에서 작동하다 보니 녹음버튼을 또 눌러도 작동이 안 됐던 것이다. 통상 스마트폰은 24시간 켜져있어 주요 정보가 계속 유출될 위험이 높다”고 주의를 당부했다.