북한 해커, 경찰 사칭…보안 전문가 노린 스피어 피싱 공격 포착! 🔥

원본 기사:  North Korean hackers pose as police in spear phishing attacks - UPI.com  |  UPI

📌 핵심 요약

북한의 군사 정보 기관과 연계된 것으로 알려진 해킹 그룹이 한국의 안보 및 정책 관련 인사들을 대상으로 경찰 수사관, 국방부 관계자, 북한 전문가 등을 사칭하는 스피어 피싱 공격을 감행하고 있다는 사실이 밝혀졌다. 한국의 정보 보안 기업인 지니언스가 이러한 사이버 공격을 탐지했으며, 이 공격은 정찰총국과 관련된 북한 지원 해킹 그룹인 APT37과 연관된 것으로 추정된다.

A North Korean hacking group linked to the country's military intelligence agency has posed as police investigators, defense officials and North Korea experts in spear phishing attacks targeting South Korean security and policy figures, a cybersecurity company said Thursday.

Genians, a South Korean information security company, said it detected cyberattacks suspected of being linked to APT37, a North Korea-backed hacking group associated with the Reconnaissance General Bureau.

북한 해커, 치밀한 위장술로 전문가들을 노리다!

이번에 드러난 북한 해킹 그룹의 수법은 정말이지 섬뜩할 정도다. 단순히 이메일을 무작위로 보내는 게 아니라, 타겟의 심리를 파고들어 경계심을 허무는 '스피어 피싱(Spear Phishing)'이라는 정교한 방식을 사용했다는 점이 주목된다. 이들은 경찰관, 국방부 관계자, 항공권 발권 담당자, 심지어 북한 연구 단체까지 다양한 신분을 위장하며 접근했다. 마치 첩보 영화의 한 장면처럼 말이다. 특히, 북한 핵 발전소 관련 자료를 확보했다며 연구자들이 이를 통해 북한의 핵 문제에 대한 이해를 높일 수 있다는 식으로 접근하거나, 해킹 사건 수사 과정에서 발신자의 이메일 주소가 의심스러운 서버에서 발견되었다는 가짜 메시지를 보내는 등, 피해자가 '설마 내가?'라고 의심하기 어렵게끔 치밀하게 준비했다. 이미 확보한 공개 정보나 이전 해킹 시도를 통해 얻은 개인 정보를 활용하여 메시지의 신뢰도를 높이는 방식은 그들의 정보 수집 능력이 얼마나 뛰어난지를 보여준다. 실제 인물의 이름, 소속, 배경 정보까지 동원하며, 은퇴를 앞둔 국방부 관계자로서 같은 분야의 사람들과 의미 있는 프로젝트를 함께 하고 싶다는 식으로 감정적인 유대감까지 형성하려 했다니, 그들의 수법이 얼마나 대담하고 능숙한지 짐작할 수 있다. 지니언스에 따르면 이러한 공격은 지난달까지도 계속되었으며, 악성 파일의 최종 저장 시각이 4월 17일 오전으로 확인되었다. 이 파일은 'Lailey'라는 계정과 연결되어 있었는데, 이는 2022년 통일자문회의와 유엔 북한인권사무소를 사칭한 공격에서도 사용된 이름이라고 한다. 북한 해커들의 집요함과 오랜 기간 축적된 노하우가 고스란히 드러나는 대목이다.

조직 개편과 이름 변경, 심상치 않은 북한의 움직임

이번 보고서는 북한이 최근 여러 정보 기관의 조직을 개편하고 이름을 변경한 시점과 맞물려 더욱 주목받고 있다. 지난 3월, 북한은 국가보위성을 '국가지도기관보위성'으로, 9월에는 정찰총국을 '정찰총국 정보국'으로 확대 개편했다. 특히 '정찰총국 정보국'이 바로 이번 공격의 배후로 지목되는 APT37 그룹과 연관된 것으로 추정된다. 지니언스는 두 기관의 명칭에 '정보'라는 단어가 포함된 것은 북한이 외부 정보 수집, 분석, 사이버 작전을 강화하려는 의도를 분명히 보여준다고 분석한다. 이는 단순한 사이버 범죄를 넘어 국가 안보와 직결되는 정보전을 더욱 적극적으로 수행하겠다는 신호로 해석될 수 있다. 과거에는 주로 외화벌이를 위한 금융 범죄에 집중했던 북한 해킹 그룹들이 이제는 더욱 고도화된 정보 탈취와 작전 수행 능력을 갖추고 있다는 방증이다. 이러한 조직 개편은 북한이 사이버 공간에서의 영향력을 확대하고, 국제 사회에서의 입지를 강화하기 위한 전략의 일환으로 볼 수 있다. 앞으로 북한발 사이버 위협이 더욱 정교하고 광범위해질 가능성을 시사하는 대목이라 할 수 있다.

외화벌이 수단으로서의 해킹, 암호화폐 노린 공격도 경계해야

북한 해커들의 활동은 외화벌이와도 깊은 연관이 있다. 사이버 보안 전문가들은 일반 암호화폐 투자자들 역시 표적이 될 수 있다고 경고한다. 북한은 해킹을 통해 외화를 획득하는 주요 수단으로 삼고 있기 때문이다. 한국 국가정보원에 따르면, 북한은 지난해 한국인과 해외 가상자산을 대상으로 한 암호화폐 및 기타 해킹 작전을 통해 2조 원, 약 14억 달러에 달하는 금액을 탈취한 것으로 알려졌다. 이는 북한 해커들이 지금까지 탈취한 금액 중 최대 규모다. 이러한 사실은 북한이 단순히 정보 탈취를 넘어 경제적 이익을 극대화하기 위해 해킹 기술을 적극적으로 활용하고 있음을 보여준다. 암호화폐 시장의 변동성과 익명성을 이용해 자금을 세탁하고 은닉하는 방식까지 동원될 수 있다는 점에서, 일반 투자자들의 주의가 더욱 요구된다. 뿐만 아니라, 북한은 사이버 공격을 통해 국방, 정보기술, 기타 산업 기술을 탈취하는 데에도 관여하고 있는 것으로 추정된다. 이는 국가 안보와 경제 발전에 치명적인 위협이 될 수 있으며, 국제 사회는 북한의 이러한 사이버 활동에 대해 더욱 강력한 대응책을 마련해야 할 필요가 있다. 앞으로 북한 해커들의 활동 범위와 수법이 더욱 다양해질 것이라는 전망이 나오는 만큼, 우리 모두 경계를 늦추지 말아야 할 것이다.