X 등에서 사칭 계정 발견…프로젝트 수행 사실 홍보하기도
북한 해커들이 소셜네트워크서비스(SNS)에서 보안 전문가를 사칭해 사이버 보안 연구원들과 친분을 쌓은 뒤 해킹을 시도한 것으로 나타났다.
9일 미국 자유아시아방송(RFA)에 따르면 구글 위협분석그룹(TAG)은 최근 홈페이지에 게재한 보고서를 통해 SNS에서 북한 해킹 조직의 사칭 계정들이 발견되고 있다고 밝혔다. TAG는 “북한의 위협 행위자들은 X(옛 트위터)와 같은 소셜미디어를 사용해 그들의 목표물과 친밀감을 쌓았다”며 “그들은 (목표로 한) 보안 연구원과 상호 관심이 있는 주제에 대해 협력을 시도하며 수개월 간 대화를 이어갔다”고 언급했다.
이들은 보안 연구원들과 친분을 형성한 뒤 다른 메시지 앱을 통해 해킹을 시도했다. TAG는 “해커들은 X를 통해 접촉한 후 시그널, 왓츠앱, 와이어와 같은 암호화된 메시지 앱으로 이동했다”며 “연구원과 관계가 발전되면 이들은 악성코드가 담긴 파일을 보냈다”고 설명했다.
보안 취약점을 이용한 해킹인 ‘제로데이’ 공격에 사용된 코드들은 그간 북한 해킹 조직이 활용했던 코드와 일치하는 것으로 전해졌다. TAG는 이날 보고서를 통해 북한 해커로 추정되는 ‘폴’이라는 인물의 X 계정도 공개했다.
폴은 X 계정에서 자신을 보안 연구원이자 개발자라고 소개하고, 작년 12월에 관련 프로그래밍 프로젝트를 수행했다는 사실을 홍보하기도 했다. 현재는 계정과 관련 게시글이 모두 삭제된 상태다. RFA는 “북한 해커들도 보안 시스템을 다루는 것에 숙련됐기 때문에, 사이버상에서 보안 전문가들과 친분을 쌓기 쉬웠을 것으로 보인다”고 분석했다.
