조 바이든 미국 행정부가 북한과 중국, 러시아와 이란을 ‘사이버 적성국’으로 규정하고 사이버 전쟁을 선포한 가운데, 최근 미국과 유럽 보안 연구원들을 겨냥한 북한 해커 그룹의 활동이 포착됐다.
조 바이든 미국 행정부는 이달 초 38페이지 분량의 ‘국가 사이버 안보 전략’보고서를 통해 북한과 중국, 러시아와 이란을 ‘사이버 적성국’으로 규정하고, 이들 국가 해커 조직과의 전쟁을 선포했다.
이는 바이든 행정부 출범 첫해인 지난 2021년, 미국 최대 송유관 업체가 해킹돼 기름값이 치솟는 등 주요 인프라와 교통시설 등에 공격 이후 사이버 위협이 계속되고 있는 것에 따른 대응 조치로 풀이된다. 백악관은 “모든 수단을 동원해 이 국가들의 관련 단체들을 파괴하고 해체할 것”이라고 강경 대응을 예고했다.
◆링크드인 계정으로 접근…왓츠앱으로 대화 유도
이 가운데 글로벌 사이버 보안 기업 맨디언트는 채용 담당자로 가장한 링크드인 계정을 통해 미국과 유럽의 보안 연구원에 접근, 자산 탈취를 시도한 북한 해커그룹 UNC2970 관련 보고서를 공개했다.
UNC2970은 프로필 사진, 경력, 자격 등의 정보를 정교하게 조작한 합법적인 사용자의 링크드인 계정들을 관리했다.이들 계정은 잠재적인 피싱 피해자와 관계를 구축하고 대화를 이어갈 수 있도록 프로필이 잘 꾸며져 있다. UNC2970은 타깃으로 삼은 대상에 연락을 한 다음, 왓츠앱으로 대화를 이어가기 위해 시도했다. 이후 피싱 페이로드(전송 되는 데이터)를 보내기 전까지 피해자와 관계를 이어갔다.
UNC2970이 주로 사용하는 피싱 페이로드는 마이크로소프트 워드 문서로, 페이로드를 다운로드하고 실행하는 매크로가 포함돼 있다.
맨디언트 측은 “이 건은 도난 당한 암호화폐가 어떻게 북한 작전 자금을 추가적으로 지원할 수 있었는지 보여준다”면서 “UNC2970은 미국과 유럽의 보안 연구원을 주된 공격 대상으로 삼았지만, 이번 활동의 성공 여부를 판단할 충분한 데이터는 아직 수집되지 않았다”고 설명했다.
◆“다중 인증으로 보안 강화해야”
맨디언트는 클라우드 계정 분리, 강력한 다중인증, 조건부 접속, 다중 관리자 승인 등으로 보안을 강화해야 한다고 당부했다.
관리자는 이메일 보내기나 웹 브라우징 같은 일상적인 업무를 볼 때 별도의 계정을 사용해야 하며, 관리자 계정은 전용으로 두고 관리 작업에만 사용하도록 한다. 아울러 모든 사용자와 관리자 다중 인증 적용을 권장했다.
【서울=뉴시스】