"페북 친구 맺었을 뿐인데"…더 치밀해진 해킹, 배후엔 北?

[서울=뉴시스] 신효령 기자 = 북한 배후 해킹 조직 APT37이 페이스북을 활용한 새로운 표적 침투 공격을 전개한 정황이 포착됐다. 기존 이메일 중심의 스피어피싱에서 벗어나, 사회관계망서비스(SNS)를 기반으로 신뢰를 쌓은 뒤 악성코드를 유포하는 방식으로 진화했다는 분석이다.

14일 정보보안기업 지니언스 시큐리티 센터가 발표한 'APT37의 프리텍스팅 기반 표적 침투: 페이스북 정찰과 소프트웨어 변조 공격 분석' 보고서에 따르면, 이들은 가짜 시나리오를 만들어 피해자를 속이는 '프리텍스팅(Pretexting)' 기법을 통해 사용자가 스스로 보안 빗장을 풀도록 유도하는 것으로 나타났다.

공격의 시작은 치밀한 정찰과 관계 형성이었다. 위협 행위자는 북한 평양이나 평성 지역 출생으로 등록된 페이스북 계정을 운영하며 공격 표적에게 접근했다. 친구 요청을 통해 일상적인 대화를 나누며 신뢰를 쌓은 뒤에는 텔레그램이나 페이스북 메신저 등 별도의 채널로 대화를 유도했다.

이후 이들은 "암호화된 군사 무기 기술 문서를 공유해주겠다"는 자극적인 제안을 던졌다. 문서를 열람하기 위해서는 특정한 '전용 PDF 뷰어' 프로그램이 필요하다는 허위 시나리오를 제시했는데, 이것이 바로 '프리텍스팅' 전술이다. 피해자가 이 말을 믿고 전달받은 파일을 실행하는 순간, PC는 순식간에 공격자의 통제 하에 놓이게 된다.

공격에 사용된 설치 파일은 유명 소프트웨어 설치본과 외형상 거의 흡사했다. 하지만 그 내부는 정교하게 변조돼 있었다. 공격자는 프로그램 코드 내에서 사용되지 않는 빈 공간(Code Cave)에 악성 코드를 몰래 삽입한 뒤, 프로그램이 시작될 때 이 코드가 가장 먼저 실행되도록 시작 지점을 재설정하는 수법을 사용했다.

특히 사용자가 눈치채지 못하도록 윈도의 정상 시스템 도구를 일시 중단 상태로 만든 뒤, 그 안에 악성 코드를 주입해 실행하는 방식을 동원했다. 사용자 화면에서는 프로그램이 정상적으로 설치되는 것처럼 보이지만, 그 이면에서는 공격자의 서버와 통신하며 시스템 정보를 빼돌리는 작업이 은밀히 진행되는 방식이다. 대화 내용 중 '콤퓨터', '프로그람'과 같은 북한식 언어 표기가 발견돼 공격의 배후가 북한임이 드러났다.

이번 공격은 ▲SNS 기반 접근 ▲가짜 시나리오를 활용한 설치 유도 ▲정상 프로그램 변조 침투 ▲이미지 파일 위장 명령 수행으로 이어지는 다단계 구조를 보였다. 지니언스 시큐리티 센터는 이번 공격에 대해 흐름과 사용된 기법, 인프라 운용 방식 등을 종합적으로 분석한 결과 기존 APT37의 공격 패턴과 높은 유사성을 보인다고 밝혔다. 특히 이번 사례가 단순한 악성코드 유포를 넘어, 사용자 신뢰를 악용한 정교한 침투 공격이라는 점에 주목해야 한다고 강조했다.

이러한 지능형 공격에 대응하기 위해 기존의 보안 방식에서 벗어나야 한다고 조언했다. 단순히 알려진 악성 파일을 차단하는 것만으로는 정상 소프트웨어와 정상 웹사이트를 방패 삼아 들어오는 공격을 막기 어렵기 때문이다. 따라서 조직은 초기 침투부터 정보 탈취까지 이어지는 해커의 전체 행동 경로(TTP)를 통합적으로 감시할 수 있는 '엔드포인트 행위 탐지 및 대응(EDR)' 중심의 대응 체계를 구축해야 한다.

지니언스 시큐리티 센터 관계자는 "정상 프로세스로 위장하거나 합법적인 인터넷 환경을 악용하는 고도의 회피 기법에 맞서기 위해서는 단일 사건이 아닌, 여러 행위 사이의 상관관계를 분석하는 위협 헌팅 체계가 필수적"이라며 "모르는 사람의 SNS 접근을 경계하고 출처가 불분명한 프로그램 설치 요구에는 절대 응하지 않는 사용자들의 주의도 필요하다"고 강조했다.

◎공감언론 뉴시스 snow@newsis.com

Copyright © NEWSIS.COM, 무단 전재 및 재배포 금지