이미지 확대보기
17일(현지 시간) 지디넷에 따르면 북한 해커 그룹의 작전은 ‘오퍼레이션 인터셉션’으로 불리며 사이버 방첩과 금융을 대상으로 한다고 전했다.
부틴은 라자러스 멤버들이 링크드인 구직자 프로필과 개인 메시지를 어떻게 이용했는지를 설명했다. 그들은 면접을 보는 것처럼 위장해 피해자들에게 희망 직업에 대한 급여와 다른 정보가 들어 있는 기록물을 제공했다.
부틴은 일단 피해자의 컴퓨터가 감염되면 라자러스 해커가 인터뷰 과정을 중단하고 “합격하지 못했다”고 피해자에게 통보하고는 링크드인 프로필을 바로 삭제하는 작업을 진행한다고 말한다.
그러나 해커들은 감염된 피해자의 컴퓨터에 심어진 악성코드를 통해 그 컴퓨터를 원격으로 운영하며 피해자가 관여한 회사 파일을 해킹하고 이어 그 회사의 네트워크 내부로 진입해 연쇄 해킹을 할 수 있게 된다.
부틴은 "공격자들이 서버를 조회해 관리자 계정을 포함한 직원 명단을 확보한 이후 관리자 계정에 대한 비밀번호 공격을 한 것으로 파악됐다"고 말했다.
ESET는 이들이 찾아낸 '오퍼레이션 인터셉션' 관련 악성코드를 근거로 2019년 9월부터 12월 사이에 이런 공격이 발생한 것으로 보인다고 밝혔다.
대상은 주로 유럽 항공우주 및 군수업체에서 근무하는 직원들로 대부분 경쟁사 등 유명 기업에서 위장 취업 제의를 받은 것으로 나타났다.
부틴은 일단 해커들이 해킹당한 회사로부터 그들이 필요로 하는 모든 정보와 데이터 파일을 모아도 거기서 멈추지 않았다고 말했다. 해커들은 더 나아가 감염된 회사의 사업 파트너들을 대상으로 해킹 범위를 넓혔다.
부틴은 라자러스 해커들이 해킹당한 회사들의 이메일 수신함을 뒤져 미지급 송장을 찾고 대금 지급을 재촉, 송금을 가로채기도 했다. ESET 팀은 보고서에서 "송장은 이전에 합의된 계좌와는 다른 은행 계좌로 보내졌다"고 밝혔다.
미 재무부는 2019년 9월 북한이 해킹 조직과 연계해 북한의 무기 및 미사일 프로그램을 위한 자금을 조달하고 돈을 훔치기 위해 해킹 조직을 이용하고 있다며 제재 조치를 내렸었다.
접근 대상으로 링크드인 프로필을 사용하는 것은 북한 해커들이 오랫동안 사용한 전술이었다. 라자러스 해커들은 2019년 1월 링크드인 메시지를 이용해 은행권에 근무하는 직원들과 접촉하고 스카이프를 통해 취업 면접을 주선했는데, 이 과정에서 피해자들에게 악성코드를 배포했다. 이는 북한 해커들이 칠레 은행 전체의 ATM 인프라를 연결하는 회사인 레드뱅크를 침범한 것으로 보안 연구진은 보고 있다.
조민성 글로벌이코노믹 기자 mscho@g-enews.com
![[단독] 삼성웰스토리, 베트남서 5억대 세금추징 ‘망신’](https://nimage.g-enews.com/phpwas/restmb_setimgmake.php?w=184&h=118&m=1&simg=20241123122843083909a1f3094311109215171.jpg)
