북한 해커들이 삼성을 사칭해 한국 정보보안 기업 직원들에게 취업 제안 이메일을 전송하는 수법으로 해킹을 시도했던 것으로 드러났다. 해당 해커들은 ‘최고 3억원’의 고액 연봉을 거론하며 공격 대상자들이 첨부파일을 열어보도록 유도했던 것으로 알려졌다.
구글의 사이버 보안 작업팀(Cybersecurity Action Team)은 최근에 발간된 ‘위협지평(Threat Horizon)’ 11월호에서 구글의 클라우드 컴퓨팅 서비스를 이용하는 고객에 대한 해킹 동향을 설명했다. 구글은 북한 정부의 후원을 받는 해킹 단체가 삼성의 채용 담당자를 사칭, 악성 소프트웨어 방지 프로그램을 판매하는 다수의 한국 정보보안 기업의 직원들에게 허위 채용 안내 이메일을 전송했다고 설명했다.
구글 측이 밝힌 이메일 예시를 살펴보면 해당 해커들은 최고 연봉으로 3억원을 언급하며 “경력에 관해서 아래 문서를 확인하시고 양식에 간단히 기입해 주세요”라고 유도했다. 해당 이메일엔 직무 설명서 등이 PDF 파일로 첨부돼 있었지만 일반적인 PDF 읽기 프로그램으로는 열 수 없는 파일이었다.
이에 이메일 수신자가 ‘파일이 열리지 않는다’고 답변하면 해커들은 해당 파일을 열 수 있는 프로그램을 내려 받아야 한다면서 악성 소프트웨어가 담긴 링크(인터넷 주소)를 전송했다. 링크를 클릭하면 사용자의 컴퓨터에 파일을 깔고 임의로 명령을 내릴 수 있는 악성 소프트웨어가 설치되는 수법이었다.
또한 구글은 이번에 ‘취업 제안’ 이메일로 해킹을 시도한 북한 해커들이 트위터 등 SNS에서 활동했던 해커들과 동일 집단이라고 분석했다. 앞서 구글 측 ‘위협분석그룹(Threat Analysis Group)’은 지난 1월에 낸 보고서에서 북한 해커들이 트위터 등 SNS에서 사이버 보안 전문가인 척 위장해 다른 연구원들에게 접근한 적이 있다고 발표한 바 있다.
당시 북한 해커들은 다수의 계정을 생성해 서로의 게시물을 인용, 신뢰받는 전문가인 양 위장하는 한편 공격 대상자들과 연락을 이어가며 경계심을 줄여갔다. 이후 공격 대상자에게 공동 연구를 하자며 악성 프로그램을 전송하고, 공격 대상자가 해당 프로그램을 실행하면 악성 소프트웨어에 감염되도록 하는 수법을 썼다.
