[뉴욕=뉴스핌]김근철 특파원=북한의 한 해킹 그룹이 최근 '인증정보 수집'에 주력하고 있으며, 이를 통해 대규모 사이버 공격을 감행할 가능성이 있다는 지적이 제기됐다.
자유아시아방송(RFA)에 따르면 미국의 사이버보안업체 '프루프포인트'(ProofPoint)는 25일(현지시간) 북한 정권의 수익 창출을 위해 할동하는 '지능형지속위협(APT)' 해킹그룹 'TA444'가 전례없는 방식으로 '인증정보 수집 활동'을 벌이고 있다는 내용의 보고서를 발표했다.
프루프포인트의 알렉시 도레이-존카 사이버위협 연구담당자는 RFA에 "우리가 파악하고 있는 TA444의 기존 목적은 (암호화폐 지갑 등을 훔치기 위해) 공격 대상의 시스템을 감염시키는 것인데, 지난 해 12월 목격한 바로는 아이디와 비밀번호 정보를 훔치는 것"이라면서 "이런 (인증정보에 주력하는) 공격은 처음"이라고 밝혔다.
그는 이러한 공격의 최종 목적을 판단하긴 어렵지만 이러한 인증정보 수집 활동을 통해 더 많은 정보를 축적한 후 대규모 공격의 발판으로 사용하기 위해서일 수 있다고 추정했다.
북한 해커들이 사용한 이메일과 소셜미디어 계정. 미국 법무부가 지난 2018년 북한 국적자 박진혁 기소장에 첨부한 도표다.[사진=미 법무부/VOA 갈무리] |
보고서는 TA444가 전자우편을 통해 미국과 캐나다의 교육, 정부, 의료, 금융 분야 기관 사람들을 대상으로 분석 자료 또는 대기업 취업공고, 연봉 관련 문서 등을 배포해 악성 문서에 접속하도록 유도했다고 밝혔다.
특히 TA444는 이용자의 비밀번호와 로그인 정보를 얻기 위해 이메일을 이용한 접근 방식을 사용했고, 구인 제안이나 연봉 조정과 같은 콘텐츠를 만들어 접근한 것으로 파악됐다.
도레이-존카 연구담당자는 이 같은 행위가 '랜섬웨어' 공격을 위해서가 아닐 것이라면서 오히려 정보를 축적해 자산을 훔치는 방식으로 북한 정권에 수익을 창출하려는 것일 수 있다고 분석했다고 RFA는 전했다.
그는 지난해 12월부터 인증정보를 탈취하려는 이메일의 수가 상당히 늘었다면서 "확실히 그들이 매우 활동적이고 가까운 미래에 다른 공격을 개시할 가능성이 있다는 신호로 본다"고 강조했다.
kckim100@newspim.com