북한 해커들이 미 국무부 관련 금융기관을 사칭해 해킹을 시도한 것으로 드러났다고 구글 측이 밝혔다.
6일 자유아시아방송(RFA)에 따르면 구글의 위협분석그룹(TAG·Threat Analysis Group)은 보고서를 통해 ‘김수키’ 또는 ‘탈륨’으로 알려진 북한 해킹그룹 ‘APT43’이 지난해 말 미국의 국무부신용조합(State Department Federal Credit Union)을 사칭해 공격을 감행했다고 밝혔다.
국무부신용조합은 미 국무부 직원, 가족 등이 자금을 조성하고 공동 이익을 추구하도록 돕는 금융기관이다.
북한 해커들은 피해자에게 이메일 등으로 신용조합이 보낸 것처럼 위장한 PDF 파일로 연결되는 링크를 보내는 식으로 해킹을 시도했다. PDF 파일을 열면 ‘구글 계정으로부터 의심스러운 로그인 기록이 확인됐다’며 또 링크를 누르도록 유도하고, 이 링크를 누르면 피싱 페이지로 이동하게 되는 것으로 전해졌다.
특히 북한 해커들은 피해자 개개인에 맞춰 피싱 페이지에 피해자의 이메일 주소가 미리 입력돼 있도록 하는 치밀함까지 보였다고 구글 측은 설명했다.
APT43은 이렇게 유도된 피해자가 피싱 페이지에 입력하는 비밀번호 등 계정 정보를 알아내는 방식으로 해킹을 시도했다고 한다.
이런 해킹 수법에 대해 보고서는 APT43이 과거엔 구글의 이용자 계정 보호 서비스인 ‘보안 알림’을 위장해 해킹 공격을 해 왔지만, 이 수법의 성공률이 점차 낮아지자 새로운 수법을 사용하기 시작한 것이라고 설명했다.
APT43은 지금까지 다양한 방식으로 해킹을 시도해 왔다.
보고서에 따르면 APT43은 언론사나 연구기관 관계자라며 인터뷰 등을 요청하는 메일을 보내 피싱 페이지로 유도하거나, 정상적인 화면 안에 가짜 로그인 화면이 열리도록 하는 ‘브라우저 인더 브라우저’ (browser-in-the-browser) 방식을 이용해 해킹을 시도하기도 한 것으로 전해졌다.
또 보고서는 APT43이 공격 대상자들에게 악성 링크나 파일을 보내기 전 이들과 관계를 맺기 위해 최대 몇 주에 걸쳐 이메일을 주고 받는 등 많은 시간과 노력을 들이는 치밀함까지 보였다고도 설명했다.