탈북자와 대북 분야 관계자를 대상으로 하는 모바일 지능형지속공격(APT)이 탐지됐다. 배후에는 ‘금성 121’ 조직이 있었다. 과거보다 지능화된 사이버 공격이라는 분석이 나온다.

보안 전문 기업 이스트시큐리티는 탈북자와 대북단체, 외교・안보・통일 관계자를 대상으로 하는 ‘드레곤 메신저 오퍼레이션(Dragon Messenger Operation)’ 공격이 포착되었다고 5일 밝혔다. 해당 공격은 APT 유형으로 모바일 메신저를 통해 범행이 이뤄졌다.

APT 공격은 선진 컴퓨팅 기술로 집요하게 해킹하는 것을 말한다. 해커가 미리 점친 표적 정보를 꾸준히 모아 약점을 파악한 뒤 지능적으로 공격하기에 피해가 크다.

가짜 웹사이트를 제작한 후 그곳에서 악성 애플리케이션을 내려받도록 유도하는 화면. / 이스트시큐리티 제공
가짜 웹사이트를 제작한 후 그곳에서 악성 애플리케이션을 내려받도록 유도하는 화면. / 이스트시큐리티 제공
이번 공격은 특정 정부의 후원을 받는 것으로 알려진 해킹 조직 ‘금성121(Geumseong121)’의 소행으로 추정된다. 주로 한국의 대북 단체와 대북 분야 종사자, 탈북자를 대상으로 스피어피싱과 APT 공격을 수행하는 조직이다.

이번에는 실재하는 보안 메신저를 사칭한 모바일 메신저를 직접 제작해 APT 공격에 활용했다. 과거와 다른 공격 수법이다. SNS를 활용해 악성 앱 설치를 유도하는 홍보 방식도 사용해 한 단계 진화한 공격 형태를 보였다.

해커는 워드프레스 기반으로 제작한 ‘북한 이탈주민 모금운동’이라는 이름의 가짜 웹사이트를 제작했다. 이후 구글플레이에 자체 제작한 정보 탈취용 메신저 애플리케이션(앱) 두 가지를 올렸다.

가짜 웹사이트에는 탈북민이 생활상의 문제를 공유할 수 있으며 지원을 받을 수 있다는 안내가 있었다. 가짜 모바일 메신저 악성 앱 설치도 웹상에서 유도했다.

별도로 유포한 악성 앱은 ‘쓰리마(Threema)’나 ‘위커(Wickr)’ 등 실제 존재하는 보안 메신저를 사칭했다. 사용자 의심을 피하고자 정상적인 앱 기능 다수를 수행하도록 제작됐다. 해당 앱은 8월 이스트시큐리티 시큐리티대응센터(ESRC)가 발표한 ‘금성121조직의 스마트폰을 노린 APT공격 이슈’에서 활용된 악성 앱과 유사성이 매우 높다. 현재는 구글플레이에서 삭제된 상태다.

카카오톡 메신저에서 악성 앱 정보를 전하는 모습. / 이스트시큐리티 제공
카카오톡 메신저에서 악성 앱 정보를 전하는 모습. / 이스트시큐리티 제공
만약 해커의 의도대로 스마트폰에 악성 앱을 설치하면 가입 시 입력한 개인정보가 유출될 뿐 아니라 스마트폰 상의 모든 정보가 외부로 유출될 수 있다. 실시간 도청도 가능하기에 피해 규모가 더 커질 수 있다는 게 이스트시큐리티의 설명이다.

문종현 이스트시큐리티 ESRC 이사는 "이번 공격을 분석・추적한 결과, 해커는 페이스북과 유튜브 등 사용자가 친숙한 채널을 이용해 탈북민과 대북단체 관계자에게 악성 앱 설치를 유도했다"며 "감시 대상이나 공격 표적을 한곳으로 모아 은밀하게 정보를 탈취・염탐하는 고도의 전략을 구사했다"고 설명했다.