공유하기
北 해커, 이번에는 ‘MS 계정팀’ 사칭…파일 누르니 ‘좀비PC’로
- 뉴스1
글자크기 설정
지니언스 “국내 사용자 노린 공격 포착…北 연계 해킹조직 파악”
메일 내 첨부파일 누르면 ‘원격제어’ 가능한 악성코드 설치
생성형 인공지능(AI) 기반 딥페이크로 공무원을 사칭해 국내 안보·대북 분야 관계자를 노렸던 북한 해킹조직이 최근에는 마이크로소프트(MS) 계정팀으로 위장한 피싱 메일로 악성코드 유포에 나선 정황이 드러났다.
이번 공격에는 키로깅과 화면 캡처, USB 파일 수집, 원격 명령 실행 등이 가능한 원격제어 악성코드(RAT)가 사용된 것으로 분석됐다.
22일 지니언스 시큐리티센터는 최근 북한 연계 해킹조직 APT37이 MS 계정 보안 경고 안내문으로 위장한 이메일을 통해 국내 사용자를 노린 공격을 수행한 정황을 포착했다고 밝혔다.
해커는 이 메일 발신자를 ‘Microsoft 계정 팀’으로 표시해 마치 공식 계정 보안팀에서 발송한 것처럼 사칭했다. 그러나 실제 발신 도메인은 MS의 공식 소유 도메인이 아니다.
본문은 불안감을 조성해 첨부파일을 실행하도록 하기 위해 ‘최근 MS 계정에서 일회용 인증코드가 반복 생성되는 비정상 행위가 감지됐다’고 안내하는 내용으로 구성했다. 그러면서 자세한 보안 위협과 대응 방법을 확인하려면 첨부된 보안 안내문을 확인하라고 했다.
첨부파일은 HWP 확장자의 한글파일로 위장됐지만 실제로는 압축(ZIP) 파일이었으며 내부에는 악성파일이 포함됐다.
이후 해커가 원격으로 명령을 내려 키로깅과 화면 캡처, 마이크 녹음, USB 파일 수집 등의 기능을 선택적으로 실행하는 식이다.
공격자는 공격 기법과 악성코드 구조, 미끼 문서 등을 종합할 때 지난달 공개된 딥페이크 공무원 사칭 공격과 동일 계열 활동일 가능성이 높다고 분석됐다.
APT37 그룹으로 불리는 해당 조직은 북한 국무위원회 체계에 속한 정보기관인 국가정보국(구 국가보위성)과 연계된 사이버 위협 행위자로 추정된다. 이 조직은 대북 분야 인사를 대상으로 악성 사이버 스파이 활동과 자국의 이익을 위한 방첩 활동 등을 벌여왔다.
다만 지난번 공격이 북한 연구자, 북한 인권 활동가, 기자, 군·안보 관련 종사자 등을 주요 표적으로 삼았던 것과 달리 이번 공격은 특정 직군을 겨냥했다는 정황은 확인되지 않았다. 지니언스는 불특정한 국내 사용자를 겨냥한 공격이라고 봤다.
지니언스는 이 같은 공격에 대응하기 위해서는 단순 악성코드 탐지를 넘어 LNK 파일(윈도우 바로가기 파일 형식) 실행, PowerShell(명령어 실행 도구) 호출, 예약 작업 생성 등 공격 전 과정을 추적할 수 있는 행위 기반 보안 체계가 필요하다고 강조했다.
지니언스는 “지난달 공개한 딥페이크 공무원 사칭 공격에 사용된 미끼 문서와 이번 공격에 활용된 문서의 마지막 저장자명이 동일하게 확인됐고 문서 구성 역시 대부분 유사했다”며 “동일 계열 공격으로 판단되는 만큼 의심스러운 첨부파일 실행을 자제하고 행위 기반 탐지 체계를 강화할 필요가 있다”고 당부했다.
한편 최근 북한은 최근 생성형 AI와 딥페이크 기술을 사이버 공격에 적극 접목하며 해킹 수법을 빠르게 고도화하고 있다.
국가정보원 국가사이버안보센터가 최근 발간한 ‘2025 국가사이버안보센터 연례보고서’에 따르면 지난해 북한이 국내외 암호화폐 등을 해킹해 빼앗은 금전 규모는 2조 원 이상으로 역대 최대 규모다.
글로벌 보안 기업 카스퍼스키가 최근 발간한 보고서에 따르면 북한 해킹 그룹 ‘김수키’가 사용한 백도어에서 대규모 언어 모델(LLM)로 코드를 작성한 정황이 확인되기도 했다. 김수키는 북한의 대표적인 대남 공작 조직 산하 해킹조직이다.
(서울=뉴스1)
트렌드뉴스
-
1
李, 최태원·이재용과 연쇄 회동…‘반도체 지방 투자’ 막바지 조율
-
2
‘124표차’ 충주시장 재검표한다…與후보 “입력 오류 가능성 제보받아”
-
3
‘참교육’ 진짜였다…고교 1곳서 48명이 도박 자진신고
-
4
[단독]“신천지 신도 최소 5만6472명, 2021∼2024년 국힘 당원 가입”
-
5
금감원장 “삼전닉스 레버리지, 드러누워서라도 막았어야”
-
6
‘오토파일럿’ 켠 테슬라, 주택으로 돌진…美 70대女 사망
-
7
가수 박서진 잠실 콘서트 취소…핸드볼경기장 봉쇄 여파
-
8
[사설]‘내란 가담’ 법무에 구형보다도, 총리보다도 1심 중형 선고
-
9
박지원 “송영길, 정청래에 맞서 김민석과 단일화 하겠다고”
-
10
밴스 “이란, IAEA 사찰단 접근 허용”…동결자금 용도는 이견
-
1
[김승련 칼럼]장동혁, 지금이 사퇴할 최적기다
-
2
김민석 “李 뜻 이해하지만…보완수사권 폐지 불가피”
-
3
정청래, ‘이화영 술파티 위증’에 “참 안타깝고 이상한 판결”
-
4
李대통령 “정치 목적은 국민 삶 책임지는 것…작은 차이 넘어야”
-
5
‘124표차’ 충주시장 재검표한다…與후보 “입력 오류 가능성 제보받아”
-
6
李, 최태원·이재용과 연쇄 회동…‘반도체 지방 투자’ 막바지 조율
-
7
[단독]“신천지 신도 최소 5만6472명, 2021∼2024년 국힘 당원 가입”
-
8
박성재 1심 징역 25년…이진관 판사 또 ‘구형보다 무거운’ 선고
-
9
정점식 “지지율 상승, 우리가 잘한거 아냐…쇄신하라는 명령”
-
10
靑, 李지지율 하락에 “겸허히 받아들여…국민 걱정 세심하게 살피겠다”
트렌드뉴스
-
1
李, 최태원·이재용과 연쇄 회동…‘반도체 지방 투자’ 막바지 조율
-
2
‘124표차’ 충주시장 재검표한다…與후보 “입력 오류 가능성 제보받아”
-
3
‘참교육’ 진짜였다…고교 1곳서 48명이 도박 자진신고
-
4
[단독]“신천지 신도 최소 5만6472명, 2021∼2024년 국힘 당원 가입”
-
5
금감원장 “삼전닉스 레버리지, 드러누워서라도 막았어야”
-
6
‘오토파일럿’ 켠 테슬라, 주택으로 돌진…美 70대女 사망
-
7
가수 박서진 잠실 콘서트 취소…핸드볼경기장 봉쇄 여파
-
8
[사설]‘내란 가담’ 법무에 구형보다도, 총리보다도 1심 중형 선고
-
9
박지원 “송영길, 정청래에 맞서 김민석과 단일화 하겠다고”
-
10
밴스 “이란, IAEA 사찰단 접근 허용”…동결자금 용도는 이견
-
1
[김승련 칼럼]장동혁, 지금이 사퇴할 최적기다
-
2
김민석 “李 뜻 이해하지만…보완수사권 폐지 불가피”
-
3
정청래, ‘이화영 술파티 위증’에 “참 안타깝고 이상한 판결”
-
4
李대통령 “정치 목적은 국민 삶 책임지는 것…작은 차이 넘어야”
-
5
‘124표차’ 충주시장 재검표한다…與후보 “입력 오류 가능성 제보받아”
-
6
李, 최태원·이재용과 연쇄 회동…‘반도체 지방 투자’ 막바지 조율
-
7
[단독]“신천지 신도 최소 5만6472명, 2021∼2024년 국힘 당원 가입”
-
8
박성재 1심 징역 25년…이진관 판사 또 ‘구형보다 무거운’ 선고
-
9
정점식 “지지율 상승, 우리가 잘한거 아냐…쇄신하라는 명령”
-
10
靑, 李지지율 하락에 “겸허히 받아들여…국민 걱정 세심하게 살피겠다”
-
- 좋아요
- 0개
-
- 슬퍼요
- 0개
-
- 화나요
- 0개
댓글 0