조 바이든 행정부가 북한과 중국, 러시아와 이란을 ‘사이버 적성국’으로 규정하고 사이버 전쟁을 선포한 가운데, 최근 미국과 유럽 보안 연구원들을 겨냥한 북한 해커 그룹의 활동이 포착됐다.
바이든 행정부는 이달 초 38페이지 분량의 ‘국가 사이버 안보 전략’보고서를 통해 북한과 중국, 러시아와 이란을 ‘사이버 적성국’으로 규정하고, 이들 국가 해커 조직과의 전쟁을 선포했다.
이는 바이든 행정부 출범 첫해인 지난 2021년, 미국 최대 송유관 업체가 해킹돼 기름값이 치솟는 등 주요 인프라와 교통시설 등에 공격 이후 사이버 위협이 계속되고 있는 것에 따른 대응 조치로 풀이된다. 백악관은 “모든 수단을 동원해 이 국가들의 관련 단체들을 파괴하고 해체할 것”이라고 강경 대응을 예고했다.
특히 백악관은 북한을 지목해 “가상화폐를 탈취하고 랜섬웨어 공격 등을 통해, 핵 개발에 사용할 자금을 조달하고 있다”고 꼭 짚어 지적하기도 했다.
이 가운데 글로벌 사이버 보안 기업 맨디언트는 채용 담당자로 가장한 링크드인 계정을 통해 미국과 유럽의 보안 연구원에 접근, 자산 탈취를 시도한 북한 해커그룹 UNC2970 관련 보고서를 공개했다.
UNC2970은 프로필 사진, 경력, 자격 등의 정보를 정교하게 조작한 합법적인 사용자의 링크드인 계정들을 관리했다.이들 계정은 잠재적인 피싱 피해자와 관계를 구축하고 대화를 이어갈 수 있도록 프로필이 잘 꾸며져 있다. UNC2970은 타깃으로 삼은 대상에 연락을 한 다음, 왓츠앱으로 대화를 이어가기 위해 시도했다. 이후 피싱 페이로드(전송 되는 데이터)를 보내기 전까지 피해자와 관계를 이어갔다.
UNC2970이 주로 사용하는 피싱 페이로드는 마이크로소프트 워드 문서로, 페이로드를 다운로드하고 실행하는 매크로가 포함돼 있다.
또한 UNC2970이 피해자에게 전달한 ZIP 파일에는 트로이 목마를 삽입한 원격 제어 프로그램 파일이 있다. 트로이 목마는 겉보기에는 정상적인 프로그램으로 보이지만 실행하면 악성 코드가 설치된다. 피해자는 기술 평가 테스트에 필요한 도구라고 생각하고 이를 실행하게 된다.
맨디언트 측은 “이 건은 도난 당한 암호화폐가 어떻게 북한 작전 자금을 추가적으로 지원할 수 있었는지 보여준다”면서 “UNC2970은 미국과 유럽의 보안 연구원을 주된 공격 대상으로 삼았지만, 이번 활동의 성공 여부를 판단할 충분한 데이터는 아직 수집되지 않았다”고 설명했다.
“다중 인증으로 보안 강화해야”
맨디언트는 클라우드 계정 분리, 강력한 다중인증, 조건부 접속, 다중 관리자 승인 등으로 보안을 강화해야 한다고 당부했다.
관리자는 이메일 보내기나 웹 브라우징 같은 일상적인 업무를 볼 때 별도의 계정을 사용해야 하며, 관리자 계정은 전용으로 두고 관리 작업에만 사용하도록 한다. 아울러 모든 사용자와 관리자 다중 인증 적용을 권장했다.
맨디언트 측은 “권한 없는 사용자 계정의 경우도 SMS, 음성, OTP(일회용 패스워드), 푸시 알림 같은 약한 방식보다는 번호 확인, 애플리케이션 이름 및 지리적 위치 등 상황 정보까지 확인하는 강한 방식을 적용해야 한다”고 당부했다.