“탈북민 도웁시다” 메일에 묻어온 악성코드

“안녕하세요 OOO님, OOO교회 강OO 전도사입니다. 페친(페이스북 친구) 수락 요청드립니다.” “안녕하세요, OOO연구원 강O민 목사입니다. 북한선교활동과 관련해 도움을 받고 싶어 이메일을 보냅니다.”

언뜻 보기에 목회자가 보낸 요청 같지만 실제로는 지난 4월 북한의 해커 조직이 한국교회의 목회자와 성도들에게 보낸 SNS 메시지이다. 보안 플랫폼기업 지니언스가 최근 홈페이지에 공개한 위협분석보고서에서 지난 3-4월 한국 내 페이스북과 이메일, 텔레그램 이용자를 겨냥한 지능형지수귀협(APT) 공격 양상을 공개했다.

지니언스는 3단 콤보 위협 분석(Triple Combo Threat Analysis)을 통해 페이스북과 이메일, 텔레그램을 이용한 공격 사례를 발표했다. 이들은 페이스북을 기반으로 현혹했던 사례를 소개하며 온라인 친구신청 및 메신저 대화 신청, 친구 수락 후 특정 문서 공유, 악성파일 전송 등의 단계로 이뤄진다고 밝혔다. 

지니언스 측은 “위협 행위자는 본인 신분을 특정 교회의 전도사 혹은 연구원의 목사처럼 소개하면서 공격 대상의 페이스북 메신저로 교묘히 접근한다”며 “이후 특정 문서를 공유하는 것처럼 관심을 유발해 악성파일을 전송한다”고 설명했다.

또 지니언스 측은 “일대일 메시지로 이메일을 알아낸 후 추가 접근을 시도하기도 한다”며 “페이스북을 통해 이메일을 알아내고 악성파일에 접근하도록 유인하는 전략을 구사한다”고 부연했다. 

텔레그램에 대해서도 “공격 대상자의 스마트폰 번호를 알고 있을 경우에는 텔레그램 메시지로 접근하는 것을 볼 수 있다”며 “이처럼 탈북민이나 이들을 대상으로 사역하고 있는 목회자, 아니면 북한선교에 관심을 갖고있는 이들에 대한 공격수법이 다양해지고 있음을 명심해야 한다”고 밝혔다.

어떻게 이들을 구분할 수 있을까? 지니언스 측은 ‘탈북민 지원 봉사 활동’이라는 일관된 주제와 ‘egg파일’에 주의할 것을 당부했다. ‘egg파일’은 2010년 출시된 알집 파일로 여러 파일을 전달할 때 주로 사용하는 프로그램이다. 때문에 별다른 의심없이 사용자들이 열어볼 수 있는 위험이 따른다. 

지니언스는 “실제 공격에 쓰인 악성파일들을 보면 동일한 형태의 파일임이 분석됐고, ‘탈북민 지원 봉사 활동’이라는 공통된 키워드로 수신자를 현혹했다. “첨부 파일 역시 문서 파일, 이미지 파일 등으로 위장하여 사용자의 클릭을 유도하며, 실행 시 시스템을 감염시키거나 정보를 빼내는 악성 코드를 포함하고 있다”고 부연했다.

지니언스는 “이메일 기반의 피싱 공격은 지금도 진행 중이고 이메일 주소만 알고 있다면 신속하고 은밀한 맞춤형 공격이 가능하다”며 “사회 관계망 서비스와 개인 메신저까지 공격 수단은 다양하게 쓰이고 있다”고 주의를 요청했다.