"맥북도 뚫렸다고?"…'철옹성' 맥OS 노린 北 사이버공격 첫 발견

"맥북도 뚫렸다고?"…'철옹성' 맥OS 노린 北 사이버공격 첫 발견 보안기업 GSC, 북 해킹조직 APT37 스피어 피싱 정황 포착 북한 인권 운동 관련 인물 등으로 사칭해 파일 설치 유도<div class="figure-img" data-ke-type="image" data-ke-style="alignCenter" data-ke-mobilestyle="widthOrigin"><img src="https://t1.daumcdn.net/cafeattach/1AQEW/3b8c7e67d6b59ef5886cbae24cfe38fde477873a" class="txc-image" data-img-src="https://t1.daumcdn.net/cafeattach/1AQEW/3b8c7e67d6b59ef5886cbae24cfe38fde477873a" data-origin-width="647" data-origin-height="430"></div>21일 지니언스 시큐리티 센터 위협분석 보고서에 따르면 북한 연계 해킹조직 APT37이 지난달 맥OS를 사용하는 국내 북한 인권·대북 분야 종사자를 대상으로 스피어 피싱 공격을 시도했다. 사진은 지난해 8월23일 오후 서울 중구 애플스토어 명동점에 맥북이 진열된 모습. 2022.08.23. livertrent@newsis.com[서울=뉴시스]윤정민 기자 = 국내 애플 맥 운영체제(OS) 사용자를 겨냥한 사이버 공격 정황이 처음 발견됐다. 북한발 해킹 공격 대상자들은 폐쇄적인 구조를 지닌 맥OS가 윈도보다 보안에 안전한다는 생각에 맥북 등을 전략적으로 사용해왔다. 하지만 북한과 연계된 해킹 조직이 맥OS 기기에도 악성파일을 설치하도록 시도한 게 드러나자 맥OS 사용자도 해킹 위험에 안심할 수 없게 됐다. 22일 지니언스 시큐리티 센터 위협분석 보고서에 따르면 북한 연계 해킹조직 APT37은 지난달 맥OS를 사용하는 국내 북한 인권·대북 분야 종사자를 대상으로 스피어 피싱 공격을 시도했다. 스피어 피싱이란 신뢰할 만한 발신자가 보낸 것으로 위장한 이메일 공격을 말한다. 센터 측은 이번 맥OS 사용자를 대상으로 사이버 공격을 시도한 수법이 과거 APT37이 펼쳤던 공격 방법(북한인권단체 사칭 등)과 탈취하려고 했던 파일 목록이 비슷하다는 점을 들어 해킹조직을 특정할 수 있었다고 설명했다. <div class="figure-img" data-ke-type="image" data-ke-style="alignCenter" data-ke-mobilestyle="widthOrigin"><img src="https://t1.daumcdn.net/cafeattach/1AQEW/830b4183fbae3eda7da90dfa5a85d2b34b3a3c50" class="txc-image" data-img-src="https://t1.daumcdn.net/cafeattach/1AQEW/830b4183fbae3eda7da90dfa5a85d2b34b3a3c50" data-origin-width="559" data-origin-height="1059"></div> 21일 지니언스 시큐리티 센터 위협분석 보고서에 따르면 북한 연계 해킹조직 APT37은 국내 특정 대학의 국제관계연구원 관련 교수로 사칭해 지메일 계정 탈취를 시도했다. 사진은 PDF 형식인 강의 의뢰서 파일 버튼을 클릭하면 지메일 비밀번호 입력을 유도하는 장면 (사진=지니언스 시큐리티 센터 위협분석 보고서 캡처) *재판매 및 DB 금지 공격 수법으로는 우선 국내 특정 대학의 국제관계연구원 관련 교수로 사칭해 북한 인권 제도·실태 주제 특강을 요청하는 메일을 대북 전문가들에게 보냈다. 구글 지메일로 보낸 해당 메일 내용은 '보안문서'라는 상단 항목과 함께 PDF 형식식 강의 의뢰서 파일을 다운로드하도록 구성했다. 파일 버튼을 누르면 지메일 비밀번호 입력을 유도하는 화면으로 이동한다. 센터에 따르면 지메일 계정을 탈취 시도한 공격자는 비밀번호 탈취에 실패하더라도 공격 대상자가 지닌 컴퓨터 운영체제와 웹 브라우저 등을 충분히 식별할 수 있다. <div class="figure-img" data-ke-type="image" data-ke-style="alignCenter" data-ke-mobilestyle="widthOrigin"><img src="https://t1.daumcdn.net/cafeattach/1AQEW/fb96a723b8e3fee0557eb47dee28e04795d5ea28" class="txc-image" data-img-src="https://t1.daumcdn.net/cafeattach/1AQEW/fb96a723b8e3fee0557eb47dee28e04795d5ea28" data-origin-width="647" data-origin-height="306"></div>21일 지니언스 시큐리티 센터 위협분석 보고서에 따르면 북한 연계 해킹조직 APT37은 맥북 초기 설정상 파일 확장자가 보이지 않는 점을 노려 맥OS 전용 악성코드 파일 설치를 유도했다. 사진은 HWP 파일 형태로 위장한 맥OS용 악성코드 파일 (사진=지니언스 시큐리티 센터 위협분석 보고서 캡처) *재판매 및 DB 금지 이때 맥OS 이용자로 파악되면 공격자는 맥OS용 악성코드가 포함된 ZIP 파일 형태의 '제6회 R2P 국제회의 진행자료'라는 이름의 압축 파일 다운로드 링크를 보낸다. 국내 특정 북한인권 모임 소속 특정인을 사칭한 공격자는 파일과 함께 "북한 인권에 대한 강화방안을 찾아봤다"며 파일 열람을 유도했다. 압축 파일을 열람하면 한컴오피스(HWP) 문서 형식을 상징하는 아이콘 모양의 '제6회 R2P 국제회의' 파일을 볼 수 있다. 하지만 이 파일 확장자는 HWP가 아닌 맥OS 응용프로그램 종류 중 하나인 APP다. 맥북 초기 설정상 파일 확장자가 보이지 않는데 사용자들이 아이콘으로 파일 유형을 판단한다는 점을 노린 것이다. 이러한 공격이 발견되자 공격이 다수 이어졌던 해당 국제관계연구원은 웹사이트에 사칭 메일 공격을 주의하라는 공지사항을 게재했다. 센터 측은 "그동안 국내에서 북한 배후로 알려진 위협은 주로 윈도, 안드로이드, 리눅스 운영체제에 집중된 경우가 많았다"며 북한발 공격 대상이 된 특정 분야 종사자들이 보호 플랫폼으로 맥북을 선호하다 보니 맥OS 이용자를 대상으로 한 공격이 이뤄진 것 같다고 설명했다. 이어 "이번 사례는 분석된 사례 중 하나고 아직 확인되지 않은 공격까지 더한다면 이보다 많을 것으로 예측한다"며 "한국에서 맥OS를 이용하는 다수의 외교안보 및 대북 분야 인사들의 각별한 대비와 주의가 요구된다"고 전했다. 아울러 "맥OS 기반 맞춤형 스피어 피싱 공격이 한국에서 발견된 건 매우 보기 드문 일이다. 새로운 방어전략과 보안 체계 도입 준비, 전략 수립이 요구된다"고 밝혔다．