"해킹 조사중입니다"...공무원증 내민 경찰, 알고보니 北 해커

컴퓨팅입력 :2022/08/17 09:57    수정: 2022/08/17 13:58

북한 배후 해커 조직의 공격이 날로 대범해지고 있다. 경찰 공무원의 얼굴과 실명이 담긴 공무원증을 위조해 마치 북한 발(發) 해킹 사건을 조사 중인 것처럼 꾸미고, 대북 분야 종사자들을 겨냥한 공격이 발견됐다.

17일 정보보안 업체 이스트시큐리티(대표 정진일)에 따르면 최근 경찰 신분으로 위장한 해킹 공격이 등장해 각별한 주의가 요구된다.

이번 공격은 경찰청 첨단안보수사계 수사관을 사칭해 이뤄졌다. 현직 경찰 공무원의 얼굴과 실명을 가져다, 실제 공무원증인 것처럼 꾸민 PDF파일을 이용한 것이 특징이다. 메일에 첨부한 악성 실행파일(EXE) 내부에 이 PDF 문서를 은닉 후, 악성코드 작동 시점에 정상 파일로 교체하는 수법을 썼다.

경찰 공무원을 사칭한 북한발 해킹 공격이 발견됐다.(이미지=이스트시큐리티)

이스트시큐리티 시큐리티대응센터(ESRC)는 이번 공격을 분석해, 북한 배후의 해커 소행이라고 결론내렸다.

이번 공격에 사용된 웹 서버 명령어가 지난 2월과 5월에 각각 보고된 [유엔인권사무소 "조선민주주의인민공화국 내 인권 상황"에 관한 특별보고서], [대북전단과 관련한 민주평통 제20기 북한이탈주민 자문위원 대상 의견수렴] 사칭으로 수행된 공격 때와 명령어 패턴이 일치한 것을 근거로 들었다. 

'유엔인권사무소'를 사칭했던 DOCX 악성 문서의 매크로 실행 유도 디자인과 과거 북한 배후의 해킹 공격으로 분류된 '통일부 정착 지원' 사칭 공격 때의 화면이 서로 동일한 것으로 분석됐다는 설명이다.  

"공격에 사용된 명령제어(C2) 인프라 및 파워셸 코드 유사도, 주요 침해 지표(IoC)를 살펴본 결과 북한 정찰총국 연계 해킹 조직의 소행으로 보여진다"는 게 ESRC 분석이다.

관련기사

경찰의 신분증을 도용한 해킹 사건은 지난 2017년에도 발생했다. 당시 해커는 국내 비트코인 거래소 관계자를 타깃으로 회원 가입 조회 협조 요청을 위장해 공격을 수행했다. '비트코인 거래내역.xls' 파일명의 악성 코드와 신분증 PDF 사본이 함께 사용됐고, 수사당국의 대대적인 조사 결과 북한 소행으로 결론 난 바 있다.

이스트시큐리티 ESRC 관계자는 "북한의 사이버 안보 위협은 대한민국 현직 경찰관의 신분을 도용해 해킹 대상자를 물색하고 과감하게 접근하는 시도까지 할 정도로 위험 수위가 높다"며 "무엇도 신뢰하지 않는다는 전제의 제로트러스트 사이버 보안 모델 개념처럼 항상 의심하고 경각심과 긴장을 높여야 할 때다"고 당부했다.