북한 해킹조직이 유명 글로벌 기업의 채용 담당자로 위장해 항공우주·에너지 등 주요 인프라 종사자를 대상으로 사이버 공격을 시도한 것으로 확인됐다.
구글 클라우드 맨디언트는 지난 18일 자사 블로그를 통해 북한 스파이 그룹 'UNC2970'이 채용을 미끼로 하는 '스피어 피싱' 이메일을 사용해 중요 인프라 부문에서 일하는 사람들에게 새로운 멀웨어(악성 소프트웨어)를 배포하고 있다고 밝혔다.
앞서 맨디언트는 2023년 3월 UNC2970가 미국과 유럽의 보안 연구원을 대상으로 멀웨어 배포 등 사이버 공격을 벌이는 것을 포착하고, 북한과 연관성을 설명한 바 있다. UNC2970은 최소한 2022년 6월부터 활동해 왔으며, 현재 미국을 비롯해 영국, 네덜란드, 키프로스, 독일, 스웨덴, 싱가포르, 홍콩, 호주 등 여러 국가에서 공격을 벌이고 있다.
맨디언트가 최근에 포착한 UNC2970의 사이버 공격은 항공우주와 에너지 분야 종사자에게 구인공고를 주제로 한 메시지를 보내 멀웨어를 배포하는 방식이다.
구체적으로 유명 기업의 채용 담당자로 위장하고 이메일과 왓츠앱(WhatsApp)을 통해 피해자에게 접촉했다. 암호화한 PDF 파일과 오픈소스 PDF 뷰어 애플리케이션의 트로이 목마 버전(정상 프로그램인 척 위장해 컴퓨터에 설치된 뒤 데이터 탈취 등 해킹작업을 수행하는 악성코드)을 담은 압축파일에 패스워드를 걸어 보냈다. 이번 해킹 수법은 암호화한 PDF 파일은 PDF 뷰어 트로이 목마 버전으로만 열 수 있도록 한 게 핵심이다. 피해자가 '트로이 목마'인 PDF 뷰어를 설치해 궁극적으로 백도어를 배포했다.
특히 PDF 파일의 직무 설명엔 필요자격, 경험, 기술 등이 포함됐는데, UN2970이 위장한 기업의 실제 직무 설명을 비교한 결과, 피해자의 이력에 더 잘 맞도록 수정했다. 특히 고위·관리자 수준의 직원을 타깃으로 했다.
아울러 맨디언트가 UNC2970이 공격에 악용한 회사명을 밝히지 않았지만, 함께 올린 스크린샷을 미뤄볼 때 유럽 최대 방산기업인 영국의 BAE시스템즈(BAE Systems) 등을 항공우주 산업과 다국적 에너지 기업으로 보인다.
맨디언트는 “일반적으로 고위급 직원이 접근 가능한 민감한 기밀 정보가 목표였다는 점을 시사한다”고 설명했다.
조재학 기자 2jh@etnews.com
