보안

[딜라이트닷넷] 가짜 계정으로 정보 탈취, 북한발 소셜미디어 피싱 '빨간불'

김보민 기자

[ⓒ픽사베이]

[IT전문 미디어 블로그=딜라이트닷넷] 북한 해킹조직이 구인·구직 사이트를 활용해 피싱 공격을 가한 정황이 포착됐다. 전 세계적으로 '소셜 미디어 피싱'이 난제로 거론되고 있는 만큼, 실질적인 감시와 대응이 필요하다는 목소리가 커지고 있다.

2일 자유아시아방송(RFA)에 따르면 북한 라자루스는 중국 암호화폐 투자자로 위장해 링크드인에서 구인 활동을 펼쳤다. 방송이 인용한 보안업체 슬로우미스트 측은 엑스(X·옛 트위터) 게시글에서 라자루스가 중국 유명 암호화폐 투자사 '펜부시 캐피털' 파트너 투자자 '레밍턴 옹'의 사진과 이력을 섞어 가상 인물을 만들어낸 정황을 확인했다고 밝혔다. 현재 '네빌 볼슨'이라는 가짜 이름의 링크드인 계정은 삭제된 상태다.

이 계정은 정보기술(IT) 분야에 특화된 개발자를 찾고 있다며 피해자에게 접근했고, 회의 링크를 보내 중요 정보를 탈취하는 방식으로 공격을 가했다. 암호화폐 해킹을 위한 정보를 빼낸 것으로 추정된다.

북한 해킹조직이 온라인 사이트와 소셜 미디어를 활용해 피싱 공격을 가한 것은 이번이 처음이 아니다. 마이크로소프트(MS) 등 주요 기업도 북한 해커가 링크드인 채용담당자를 사칭해 사이버 공격을 감행하고 있다고 경고하기도 했다. 수법도 교묘해지고 있다. 국가정보원(이하 국정원)에 따르면 북한은 인공지능(AI) 등 첨단 기술을 활용해 공격 대상을 물색하기 시작했다.

소셜 미디어 피싱은 북한뿐만 아니라 주요 해킹조직이 활용하는 일반적인 공격 방식이다. 해커는 링크드인 사용자를 사칭할 뿐만 아니라 공식 사이트처럼 보이는 도메인을 활용해 이메일을 보내기도 한다. 이 과정에서 링크드인 메시지, 신용카드 및 개인정보 등 중요 정보, 로그인 자격 증명 등을 탈취하기도 한다. 사용자는 가짜 도메인 여부를 살펴보기 전까지 자신이 공격을 당하고 있다는 사실을 인지하기 쉽지 않다.

링크드인뿐만 아니라 다른 소셜 미디어에서도 피싱 공격이 끊이지 않고 있다. 해커는 인스타그램, 페이스북에 접속하기 위한 가짜 로그인 사이트를 만든 뒤, 사용자가 가짜 여부를 인지하지 못하고 개인정보를 입력할 때 정보를 빼가거나 액세스 권한을 탈취하기도 한다. 대부분 사용자가 소셜 미디어에서 사용하는 아이디와 비밀번호를 금융계좌 로그인에도 활용하기 때문에, 해커는 한 번의 탈취로 여러번의 공격을 가할 수 있게 된다. '팔로워를 늘려주겠다'는 메시지로 개인정보와 신용카드 번호를 빼가는 경우도 있다.

북한발 소셜 미디어 피싱도 비슷한 양상을 보이는 분위기다. 지난해에는 북한 라자루스가 해외 암호화폐 기업에서 활동하는 직원을 대상으로 고액 연봉을 제시하며 가짜 면접을 진행했고, 면접 과정에서 악성코드가 포함된 애플리케이션 설치 과제를 수행하도록 했다는 소식이 나오기도 했다. 시스템적인 해킹보다, 일반 개인에게 먼저 접근해 쉽게 통로를 확보하는 '사회공학적' 방식을 취하는 경우가 늘고 있다는 의미로 해석된다.

일각에서는 소셜 미디어를 운영하는 기업 차원에서 대응책을 마련해야 한다는 의견도 나온다. 링크드인 등 주요 소셜 미디어는 위조 및 가짜 계정을 삭제하거나, 프로필 진위 여부를 확인할 수 있는 보안 기능을 추가하며 대응에 나선 상태다. 그러나 사회공학적 피싱은 인간 대 인간 사이에서 일어나는 일이기 때문에 추후 공격 방식이 더욱 교묘해질 수 있다는 우려가 나온다.

한편 북한은 암호화폐를 겨냥한 공격에 심혈을 기울이고 있다. 유엔 안전보장이사회(안보리) 산하 대북제재위원회가 공개한 전문가 연례 보고서에 따르면 북한은 2017년부터 2023년까지 가상자산 회사를 상대로 사이버 공격을 벌여 30억달러(약 4조원) 규모의 금액을 탈취했고, 암호화폐를 현금으로 세탁하는 방식으로 외화 수입 절반을 조달했다.

김보민 기자
kimbm@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널