침해사고/위협동향

“통역 의뢰합니다” 메일, 사실은 북한 해킹?

이종현
학술세미나 동시 통역 의뢰로 위장한 해킹 이메일 실제 사례들 화면 /이스트시큐리티
학술세미나 동시 통역 의뢰로 위장한 해킹 이메일 실제 사례들 화면 /이스트시큐리티
[디지털데일리 이종현기자] 통역사를 대상으로 한 북한 해킹 공격의 정황이 확인됐다. 국제행사의 동시 통역을 의뢰하는 것처럼 위장한 공격이다.

26일 보안기업 이스트시큐리티는 북한 연계 해킹 조직의 소행으로 분류된 위협 활동을 포착했다고 밝혔다. 민간 통역사들의 각별한 주의가 요구된다는 당부다.

발견된 공격 수법은 국제행사의 동시 통역을 의뢰하는 것처럼 조작된 해킹 이메일을 다수의 통역 분야 종사자에게 전송한 것이 특징이다. 영어, 중국어, 러시아어에 능통한 통역사들이 위협 대상에 대거 포함됐다.

사이버 공격에 사용된 이메일은 크게 3개 유형이 확인됐다. 통역 언어(영어, 중국어, 러시아어)에 따라 본문 내용과 첨부파일 표현이 조금씩 다르게 적시됐고, 그 외 일본어 사용 징후도 일부 관측됐다.

공격자는 행사 일정에 참여가 가능한지 여부를 먼저 묻고, 그 다음 첨부된 문서 내용 중 어느 부분의 통역을 맡아줄 수 있는지 회신을 요구하며 자연스럽게 첨부 문서 내용을 터치하도록 유인했다.
네이버 전자문서 서비스로 위장한 악성 사이트 화면 /이스트시큐리티
네이버 전자문서 서비스로 위장한 악성 사이트 화면 /이스트시큐리티

하지만 첨부 파일을 클릭해도 문서는 받아지지 않고, 마치 중요한 전자문서 인증 용 보안 화면처럼 꾸며진 특정 웹 사이트가 나타난다. 이메일의 비밀번호를 입력해야 전자문서를 볼 수 있는 것처럼 현혹한다. 만약 이곳에 비밀번호를 입력하면 통역사 계정 정보가 외부로 유출된다.

비밀번호가 입력되면 공격자는 피해자에게 “답신이 늦어 죄송하다는 말과 함께, 통역에 응해주어 감사하지만 코로나 급증으로 인해 행사가 미뤄졌다”는 식의 추가 이메일을 발송했다. 피해자가 정상적인 통역 의뢰 이메일로 믿고, 자신의 비밀번호가 외부에 노출된 것을 인지하기 어렵게 했다는 것이 이스트시큐리티의 설명이다.

이스트시큐리티 시큐리티대응센터(ESRC)는 비밀번호 탈취에 사용된 해외 거점(accounts.nidnavercorp.cloudns[.]nz) 주소가 작년 12월 발견된 북한 공격 사례와 일치하는 것을 확인했다.

또 전자문서로 위장한 사이트로 비밀번호가 유출될 경우 사용자를 속이기 위한 목적으로 정상 워드 문서파일(.doc)이 다운로드되는데, 이와 유사한 파일 중 실제 악성코드가 확인됐고 기존 북한 연계 해킹 조직이 사용하던 매크로 코드와 감염 수법이 100% 동일했다고 전했다. 이밖에 사용된 아이디 등 북한 배후 소행으로 분류된 침해 지표들이 다수 나타났다.

문종현 이스트시큐리티 ESRC 센터장은 “동시 통역사들이 외교·안보·국방·통일 분야 국제 컨퍼런스나 다양한 정부 행사에 직접 참여하는 경우도 있다. 북한 연계 위협 조직들이 이점을 노려 주요 인물에 접근하기 위한 사전 초기 침투 과정일 수 있다”며 “평소 보지 못했던 발신자나 뜬금없이 도착한 이메일은 항상 주의하는 것이 안전하다”고 당부했다.

한편 이스트시큐리티는 이와 관련된 악성파일을 알약 백신 프로그램에 업데이트를 완료했다. 해당 사이버 위협 정보는 한국인터넷진흥원(KISA) 등 관계 당국과 공유해 위협이 확산되지 않도록 협력을 유지하는 중이다.
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널