이스트시큐리티는 국제 행사 동시 통역사를 겨냥한 북한 연계 해킹 조직의 사이버 위협 활동을 다수 포착했다고 26일 밝혔다.

이번에 발견된 공격 수법은 마치 국제 행사의 동시 통역을 의뢰하는 것처럼 조작된 해킹 이메일을 다수 통역 분야 종사자들에게 전송한 점이 특징이다. 회사 측에 따르면 이처럼 통역사를 집중 겨냥한 표적 공격 사례는 매우 이례적으로 영어, 중국어, 러시아어에 능통한 통역사들이 위협 대상에 대거 포함됐다.

실제 공격에 사용된 이메일은 크게 3가지 유형으로 영어, 중국어, 러시아어 등통역 언어에 따라 본문 내용과 첨부파일 표현이 조금씩 다르게 적시됐다. 그 외 일본어 사용 징후도 일부 관측됐다. 공격자는 행사 참여 가능 여부를 먼저 묻고 첨부된 문서 내용 중 어느 부분의 통역을 맡아줄 수 있는지 회신을 요구하며 첨부 문서 내용을 클릭하도록 유인했다.

하지만 첨부 파일을 클릭해도 문서는 받아지지 않으며, 마치 중요한 전자문서 인증용 보안 화면처럼 꾸며진 특정 웹 사이트를 보여준다. 이후 이메일 비밀번호를 입력해야 전자문서를 볼 수 있는 것처럼 연출해 입력을 유도하고 계정 정보를 유출시킨다.

이후 공격자는 피해자에게 추가 이메일을 통해 "답신이 늦어 죄송하다"며 "통역에 응해주어 감사하지만 신종 코로나바이러스 감염증(코로나19) 급증으로 인해 행사가 미뤄졌다"는 식으로 일정을 잠정 연기하고 대화를 마무리하고 비밀번호가 외부에 노출된 점을 알아차리기 어렵게 했다.

이스트시큐리티 시큐리티대응센터(ESRC)는 이번 공격에 사용된 해외 거점(accounts.nidnavercorp.cloudns[.]nz) 주소가 지난해 12월 발견된 '블록체인협회를 사칭한 공격'과 '미국 국무부의 한반도 평화 달성을 위한 북한과의 외교 전념 언론 보도로 위장한 공격' 사례와 정확히 일치한다고 밝혔다.

특히 이번 전자문서로 위장한 사이트로 암호가 유출될 경우 사용자를 속이기 위한 목적으로 정상 워드 DOC 문서 파일이 다운로드 되는데, 이와 유사한 파일 중 확인된 악성코드가 기존 북한 연계 해킹 조직이 사용하던 매크로 코드 및 감염 수법과 100% 동일한 것으로 분석됐다.

더불어 공격자가 과거부터 꾸준히 사용하던 고유 아이디 ▲zhaozhongcheng ▲Venus.H ▲Naeil_영문시작 등이 이번 공격에서 모두 발견됐다. 'zhaozhongcheng' 계정은 지난 2019년 '김민관 부부장 토론문.hwp' 악성 파일에서 사용됐고 'Venus.H' 계정의 경우 '북한의 회색지대 전략과 대응방안.hwp' 악성 파일에서 발견됐는데 모두 북한 배후 소행으로 분류된 침해 지표들이다.

이스트시큐리티 시큐리티대응센터(이하 ESRC)는 특정 통역사 대상 공격 의도를 정확히 규명하기 위해 다각적 분석을 면밀히 진행 중이며, 측면 공격루트를 확보하기 위한 다단계 침투 시나리오 등 모든 가능성을 염두에 두고 조사를 하고 있다.

문종현 이스트시큐리티 ESRC 센터장은 "동시 통역사들이 외교·안보·국방·통일 분야 국제 컨퍼런스나 다양한 정부 행사에 직접 참여하는 경우도 있어, 북한 연계 위협 조직들이 이점을 노렸거나 주요 인물에 접근하기 위한 사전 초기 침투 과정일 수 있다"며 "평소 보지 못했던 발신자나 뜬금없이 도착한 이메일은 항상 주의하는 것이 안전하다"고 당부했다.

김가은 기자 7rsilver@techm.kr