비정부단체 ‘링크’의 탈북민 지원금 프로그램 사칭...해킹그룹 APT37 추정
BitB 공격, 브라우저 내 창을 시뮬레이션해 합법적인 도메인을 스푸핑하는 피싱 기법
지니언스 시큐리티 센터, 최근 ‘위협 분석 보고서’ 발표

[보안뉴스 김영명 기자] 북한과 연관된 것으로 추정되는 해킹그룹 APT37의 새로운 유형의 공격이 포착됐다. 이번 공격은 미국 내 국제비정부단체 링크(Liberty in Northkorea, LiNK)의 탈북민 활동 지원금 프로그램을 사칭해 공격을 진행했다.


지니언스 시큐리티 센터(Genians Security Center, 이하 GSC)에서 발간한 ‘한국 내 대북분야 종사자를 겨냥한 고도화된 BitB 공격 등장’ 위협분석 보고서에 따르면, 이번 공격은 링크 단체에서 운영하는 페이스북 내용을 그대로 모방해 정교한 피싱 사이트를 개설하고, ‘Browser In The Browser(BitB)’ 공격 기술을 적용해 대북활동 전문가들을 노렸다. 또한, 평소 쉽게 접할 수 있는 ‘Single Sign-On(SSO)’ 서비스로 위장해 접근했다. GSC 측은 이번 공격의 서버의 흐름을 추적한 결과, 북한 배후 해킹그룹 APT37 인프라와 연결된 것을 발견했다.

GSC는 올해 7월 24일에 북한 연계 해킹그룹의 소행으로 분류된 새로운 공격 징후를 포착했다. GSC는 이번 위협이 국내외 대북 전문가의 일상생활 감시와 개인정보 탈취에 목적을 둔 사이버 첩보전 일환으로 보고 있다.

공격자는 국제 비정부단체인 링크에서 실제로 진행 중인 ‘체인지메이커 활동 지원금 프로그램’ 모집 내용을 교묘히 사칭했다. 해당 단체는 북한 인권 개선과 탈북 지원 활동 등으로 알려져 있다. 해당 프로그램은 북한 출신 활동가를 대상으로 하고 있으며, 실제 지원 기한은 7월 26일로 공격이 확인된 24일 기준으로 이틀간의 여유가 있었다. 총 금액은 600만원으로 매달 50만원씩 12개월간 활동 지원금을 제공하게 된다. 특히 촉박한 신청 기한이 공격 대상자를 현혹하는 중요한 포인트가 된 것으로 보인다.


안내 포스터에 담긴 구체적 모집 내용을 살펴보면, △인권 옹호 및 인식 개선 활동 △북한 사람 중심의 콘텐츠 제작 및 배포 △탈북인 정착 지원 및 역량 강화 △기타 북한 사람들을 위한 활동 등 주로 북한 출신 활동 내용이 담겨 있다. 따라서 해당 위협은 탈북민이나 유관 단체가 주요 타깃에 해당될 수 있다.

본격적인 공격은 이메일 내 상세 내용을 보기 위해 별도의 홈페이지 주소를 참고하라는 식으로 계정 해킹을 유인하는데, 실제 해당 프로그램에서 배포한 내용을 그대로 모방했다. 만약, 해당 내용에 속아 공격자가 직접 개설한 가짜 사이트로 연결되면, 피싱 공격이 진행된다.

해당 공격은 마치 탈북민의 북한인권 활동 지원 프로그램처럼 조작된 피싱 이메일로 진행된다. 이메일 본문에 삽입된 가짜 홈페이지 주소에 접근할 경우 계정 탈취 목적의 피싱 사이트가 나타난다. 이때 입력된 이메일 주소와 비밀번호가 공격자에게 유출되는 과정을 거친다.

이번 공격은 현존하는 미국의 북한인권 단체와 공식적으로 알려진 탈북민 활동지원 프로그램을 사칭해 시기적절한 맞춤형 전술 공격을 사용했다. 공격자는 해당 단체가 운영하는 페이스북 내용을 모방했으며, 북한 출신 활동가를 겨냥해 이메일 피싱 공격에 활용했다.

공격자는 다수의 탈북민 및 대북단체를 상대로 해당 공격을 수행했다. 특히, 일반적으로 많이 쓰이는 SSO(Single Sign-On) 단일 인증 방식을 공격에 접목했다. 공격 거점으로 사용할 피싱용 도메인과 웹 서버를 직접 구축했으며, ‘Browser In The Browser(BitB)’ 공격 기술을 사용했다. BitB 공격이란, 브라우저 내에서 창을 시뮬레이션해 합법적인 도메인을 스푸핑하는 피싱 기법의 일종이다.

합법적인 웹 브라우저와 주소로 보이게 위장하는 것이 피싱 공격 성공의 가장 중요한 요소인 점을 고려한다면, 허위로 조작된 피싱 사이트가 공식 URL 주소처럼 보이게 만드는 것은 핵심적인 공격 절차 중에 하나다.


BitB 공격 기술은 웹 브라우저 내부에 인증 용도로 조작된 또 다른 팝업 창을 추가로 보여주는 피싱 수법이다. 이때 보이게 되는 웹 브라우저 화면과 URL 내용은 신뢰 가능한 공식 주소처럼 보이게 디자인이 가능하다. 따라서 겉으로 보이는 URL 주소만 믿고 비밀번호를 입력할 경우 해킹 피해를 입게 된다.

GSC 관계자는 “이번 피싱 공격이 BitB 공격 기술을 절묘하게 사용한 점에 주목했다. 이번 보고서 사례처럼 외관상 보이는 URL 주소의 진위여부를 판단하는데 보다 세심한 주의와 관심이 필요한 이유다. 육안상 인지된 주소만을 믿고 접근해 함부로 개인정보를 입력할 경우 예기치 못한 위협에 노출될 가능성이 높다”고 말했다. 이 관계자는 이어 “BitB 공격을 감지하는 방법 중 하나는 팝업 로그인 창을 웹 브라우저 가장자리로 드래그(이동)하는 것이다. 팝업 창이 브라우저 화면 밖으로 벗어날 수 없다면 그것은 독립된 실제 창이 아니다”라며 “사용하는 웹 브라우저의 유저 인터페이스와 일관된 디자인과 화면 모드를 유지하고 있느냐를 비교하는 게 중요하다. 웹 브라우저의 버튼이나 아이콘 등 구성 디자인 요소에 차이점이 없는지 면밀히 비교하고 사용하는 습관이 필요하다”고 강조했다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>