국정원, 구글 서비스 악용 北해커 신종 공격 주의보…韓獨 합동 권고

2월 美NSA·FBI 이어 두 번째 사이버 보안 국제 공조

[사진=국가정보원]

구글 앱 장터와 브라우저 프로그램을 이용하는 북한 해커 조직 ‘킴수키’의 신종 사이버 공격에 대한 위험성을 알리고 예방을 촉구하는 사이버 보안 권고문을 국가정보원과 독일 연방헌법보호청(BfV)이 합동 발표했다.

국정원은 20일 독일 BfV와 합동으로 킴수키로 불리는 북한 해커 조직의 두 가지 신종 공격 수법을 소개했다. 킴수키는 북한 정찰총국과 연계된 해커 조직으로, 이들의 활동을 추적·식별한 사이버 보안 연구자에 따라 ‘탈륨’, ‘벨벳’, ‘천리마’ 등 여러 명칭으로 불리고 있다. 국정원은 “정찰총국과 연계된 킴수키의 최근 공격이 대부분 스피어피싱(Spear Phishing, 표적으로 삼은 특정인의 정보를 캐내기 위한 해킹 수법)을 통해 이뤄지고 있다”며 “악성 이메일 판별 방법을 배워 의심스러운 이메일을 받았을 때 유의 사항을 준수해 대응해야 한다”고 강조했다.

국정원과 BfV의 권고문에 소개된 북한 해커의 공격 수법 중 하나는 악성 링크를 포함한 이메일을 피해자에게 발송하고, 크로미엄(Chromium) 계열 브라우저에서 작동하는 악성 확장 프로그램 설치를 유도하는 ‘스피어피싱’이다. 공격 대상이 이 프로그램을 설치하면 해커는 별도 로그인 과정 없이 피해자 이메일 내용을 실시간 절취할 수 있게 된다. 크로미엄은 구글 크롬, 마이크로소프트 에지, 네이버 웨일 등 많은 사용자를 보유한 국내외 브라우저의 기반이 되는 오픈소스 브라우저 프로젝트다. 크로미엄 소스코드를 활용하는 브라우저는 같은 확장 프로그램 구동 기능을 제공해, 악성 확장 프로그램 공격을 수행하는 해커에게 동일하게 표적이 될 수 있다.

권고문에 소개된 또 다른 공격 수법은 ‘구글 플레이 동기화’ 기능을 악용해 스마트폰에 악성 앱을 설치하는 방법이다. 해커는 먼저 피싱 메일 등을 통해 공격 표적으로 삼은 대상의 구글 계정을 절취해 PC에서 로그인한다. 이후 공격 대상의 구글 계정으로 테스트 명목으로 악성 앱을 구글 플레이에 등록해 놓고, 구글 플레이 동기화 기능을 통해 별도 조작 없이 피해자의 스마트폰에 악성 앱을 설치한다. 이렇게 설치된 악성 앱은 공격 대상자의 스마트폰에서 자료를 탈취할 수 있게 된다.

국정원이 해외 정보기관과 합동 사이버 보안 권고문을 발표한 것은 지난 2월 10일 미국 국가안보국(NSA)·연방수사국(FBI)과 합동 권고 후 두 번째다. 이번에 한국과 독일 양국 정보기관은 국가 배후 해킹 조직의 공격 수법이 계속 진화하는 가운데 이런 공격이 제대로 대응하기 위한 필수 조건으로 국제 공조를 꼽고 있다. 이번 합동 보안 권고 발표의 배경이다. 백종욱 국정원 3차장은 “북한 신종 해킹 활동에 대한 경각심을 갖고 일상 생활에 각별히 주의를 기울일 것을 당부한다”며 “국정원은 대한민국은 물론 전 세계가 안전한 사이버 공간을 이용할 수 있도록 각국과 합동 보안 권고문을 지속 발표해 나갈 것”이라고 말했다.