북한 해커 조직이 새로운 악성 소프트웨어를 이용해 온라인 업체 구글과 AOL 이메일 계정을 해킹하고 있다는 미국 사이버 보안 업체의 보고가 나왔습니다. 북한 해커 조직 ‘김수키’의 수법과 유사한데, 미국과 유럽, 한국에서 북한과 핵무기 문제 등을 다루는 개인을 표적으로 삼는다고 지적했습니다. 이조은 기자가 보도합니다.
미국 워싱턴 기반의 사이버 보안 업체 '볼레시티(Volexity)'가 지난달 28일 발표한 보고서에는 날카로운 혀를 뜻하는 '샤프텅(SharpTongue)'이라는 북한 해커 조직이 웹 브라우저에서 이메일을 해킹하는 새로운 수법이 상세히 기술됐습니다.
북한 정부가 배후에 있는 것으로 추정되는 이 해킹 조직은 웹 브라우저에서 악성 소프트웨어, 즉 멀웨어의 일종인 악성 브라우저 확장 프로그램을 이용해 구글과 AOL 이메일 사용자 계정 내 첨부파일 등을 훔치고 있다는 설명입니다.
이 해커 조직의 수법은 ‘김수키’로 알려진 북한 해커 조직의 절도 방식과 비슷한 것으로 분석됐습니다.
보고서에 따르면 지난해 ‘샤프텅’과 관련된 대부분의 보안 사건에서 악성 ‘구글 크롬’ 또는 ‘마이크로소프트 엣지’ 확장 프로그램이 발견됐으며, 이런 멀웨어에는 ‘샤프엑스트(SHARPEXT)'라는 이름이 붙었습니다.
다만, ‘샤프엑스트’는 사용자의 이메일 아이디와 비밀번호를 해킹하지 않고 피해자의 이메일 계정에 접근해 첨부파일과 같은 데이터를 직접 훔친다는 점에서 ‘김수키’의 기존 악성 확장 프로그램과 다소 차이가 있는 것으로 분석됐습니다.
구체적으로 이 해커 조직은 멀웨어에 감염된 컴퓨터 등에서 확장 프로그램 설치에 필요한 파일을 수동적으로 빼낸 뒤 윈도 시스템에 침입해 브라우저의 기본 설정과 보안 설정을 바꾸는 과정 등을 통해 ‘샤프엑스트’를 수동 설치하는 것으로 파악됐습니다.
특히 ‘샤프텅’은 북한과 핵 문제, 무기 시스템 등을 다루는 미국, 유럽, 한국의 단체 관계자들을 표적으로 삼는 것으로 나타났습니다.
‘볼레시티’는 보고서에서 “처음 ‘샤프엑스트’를 발견했을 때는 수많은 버그를 포함한 초기 개발 도구인 것처럼 보여 미성숙한 도구인 것 같았다”고 밝혔습니다.
하지만 “이 공격자는 멀웨어 배포를 통해 여러 피해자로부터 수천 개의 이메일을 훔친 것으로 나타났다”며 “이 확장 프로그램은 꽤 큰 성공을 거두고 있다”고 지적했습니다.
VOA 뉴스 이조은입니다.