“카카옥페이 개인정보 처리 안내입니다”…알고 보니 北 해킹?
'금성121' 소행으로 밝혀져…시간차 두고 악성파일 유포하는 지능적 수법 보이기도
북한 연계 해킹 조직이 유명 메신저 프로그램을 통해 악성파일을 유포 중인 것으로 나타났다.
이상용 데일리NK 공동대표는 지난 17일 카카오톡 메신저를 통해 ‘카카옥페이’라는 발신자로부터 메시지를 받았다. 카카오사(社)의 간편결제 서비스인 ‘카카오페이’와 유사한 이름으로 설정하고 프로필 사진에도 카카오페이 연관 이미지를 넣어 가짜 계정임을 숨기려 했다.
현재 카카오톡 메신저에서는 사용자 이름을 ‘카카오페이’, ‘카카오 페이’, ‘Kakao pay’ 등으로 설정할 수 없게 돼 있다. 카카오사에서 사칭 피싱을 예방하기 위해 이를 금칙어로 해둔 것으로 보이는데, 이 때문에 공격자가 불가피하게 사용자명을 ‘카카옥페이’라고 설정한 것으로 파악된다.
공격자는 17일에 처음 메시지를 보내면서 별다른 악성파일을 유포하지 않고 이벤트와 서비스 이용에 대한 정보를 전달하면서 호기심을 유도했다. 곧바로 특정 파일을 건네는 경우 상대가 경계하면서 해킹을 의심할 수 있다는 점을 노린 전략이다.
실제 공격자는 다음날인 18일 본색을 드러냈다. 공격자는 이 대표에게 ‘개인정보 처리 방침’ 안내라면서 압축파일을 보냈다. 이에 본보가 해당 압축파일을 전문가에게 분석 의뢰한 결과, 악성코드가 심어진 파일로 나타났다.
문종현 이스트시큐리티 시큐리티대응센터장은 본보에 “해당 파일은 북한 해킹 조직 금성121의 소행”이라며 “악성코드가 숨겨져 있고 이것이 실행될 경우 사용자의 정보가 유출된다”고 말했다.
특히 문 센터장은 “이번 악성파일은 카카오톡 PC 버전을 노린 것으로 보인다”며 “스마트폰 환경에서는 작동되지 않는다”고 설명했다.
공격자가 보낸 압축파일을 해제하면 내부에 pif 확장자로 위장한 실행(exe) 파일이 있다. 해당 파일을 실행하면 악성코드와 함께 PDF 파일이 열린다. 정상적인 PDF 파일이 실행되기 때문에 사용자가 해킹에 노출됐다는 사실을 인지하지 못할 가능성이 있다.
이 악성파일을 열면 사용자의 눈에는 보이지 않는 백그라운드에서 악성코드가 작동해 특정 원드라이브(OneDrive) 클라우드로 접속해서 추가 명령을 대기 또는 시도한다. 그리고 미리 설정된 명령에 따라 탈취한 사용자 정보를 보안클라우드 스토리지인 피클라우드(pCloud) 서버로 전송한다.
문 센터장은 “SNS나 메신저를 통해 전송된 파일이나 단축 URL에 대해서는 각별한 주의가 필요하다”면서 “휴대전화나 이메일로 파일을 받는 경우 발신자와 직접 통화해 사실 여부를 확인하고 열람하는 것이 안전하다”고 강조했다.
한편 금성121은 북한과 연계된 조직으로, APT(지능형지속위협) 공격을 은밀히 수행하고 있다. 이들은 과거 실존하는 특정 인물의 이름과 프로필 사진을 무단 도용해 카카오톡 계정을 생성하고 해킹 공격을 시도한 바 있다.
최근 들어 더욱 다양한 방식으로 해킹 시도가 이뤄지고 있는 만큼 사용자들의 각별한 주의가 요구된다.
https://www.dailynk.com/20220819-5/
“북한발 해킹은 일상”··· 이스트시큐리티, 2022년 사이버보안 이슈 전망
[디지털데일리 이종현기자] 내년에도 한국을 대상으로 하는 북한의 해킹이 일상처럼 지속되리라는 전망이 제기됐다.
9일 백신 프로그램 ‘알약’의 개발사 이스트시큐리티는 올해 주요 사이버보안 이슈 및 2022년 발생할 것으로 예상되는 위협을 발표했다.
가장 큰 위협으로 꼽힌 것은 북한이다. 이스트시큐리티의 분석에 따르면 북한 정찰총국의 지원을 받는 해킹 그룹은 올해 국방·통일·외교·안보 및 대북 관계자 등을 대상으로 하는 사이버 공작 활동을 활발히 펼쳤다.
특히 북한 정찰총국의 지원을 받는 것으로 추정되는 ‘라자루스’와 ‘탈륨’의 공격이 성행했다.
라자루스는 전 세계에 영향을 미친 랜섬웨어 공격 ‘워너크라이’의 배후로 지목되는 곳이다. 미국 법무부로부터 전 세계 은행과 기업으로부터 13억달러가량을 훔친 혐의로 기소된 박진형, 전창혁, 김일이 몸담은 조직으로 알려졌다. 10여개국 이상의 방산업체로부터 민감한 국방 데이터를 훔쳤다는 의혹도 있다.
탈륨은 올해 한국원자력연구원을 공격한 것으로 의심받고 있다. 이스트시큐리티 시큐리티대응센터(ESRC)는 노태우 전 대통령 사망시 언론사 뉴스 페이지를 가장한 피싱 사이트를 유포했다고 지적한 바 있다. 광범위하게 일상적으로 공격을 수행 중인데, 이스트시큐리티는 또다른 북한 해킹그룹 ‘김수키’가 탈륨의 또다른 이름일 것으로 추정하고 있다.
이스트시큐리티는 2022년에도 북한의 대남 사이버 위협은 일상처럼 지속할 것이라고 예측했다. 특히 공공분야 뿐만 아니라 민간 분야 전문 종사자를 대상으로 한 표적 공격도 가속화할 것으로 내다봤다.
국가정보원(이하 국정원)은 내년 3월 있을 제20대 대통령 선거 전후로 북한의 사이버공격이 집중되리라 전망했다. 금전 탈취뿐만 아니라 우리 정부의 대미·대북정책 정보를 훔쳐내기 위한 활동을 펼칠 것이라는 예상이다.
이스트시큐리티는 이밖에 2022년 주요 위협으로 ▲국지적 고도화된 랜섬웨어 공격 활발 ▲대통령 선거 및 월드컵, 올림픽 등 국제 행사를 활용한 사회공학적 공격 발생 ▲팬데믹을 활용한 개인정보 유출 위협 지속 ▲메타버스 플랫폼의 데이터 및 대체불가능한 토큰(NFT) 광풍으로 인한 위협 등장 ▲인공지능(AI) 서비스나 스마트 기기를 대상으로 한 위협 발생 등을 꼽았다.
http://m.ddaily.co.kr/m/m_article/?no=227100
이스트시큐리티, "북한발 해킹 증가…주변 정보 메일 주의“
http://m.ddaily.co.kr/m/m_article/?no=229251