지니언스·그룹아이비 "심리전·AI 결합한 정교한 공격"

가짜 개발자 내세워 기업 침투…글로벌 고용망 악용

(서울=연합뉴스) 권하영 오지은 기자 = 북한 배후 해킹 조직이 소셜네트워크서비스(SNS)를 통한 정교한 심리전부터 인공지능(AI)을 활용한 위장 취업까지 동원하며 사이버 공격 수법을 날로 고도화하고 있다.

기술적 취약점을 파고드는 대신 사용자의 신뢰를 악용하거나 체계적인 산업화 규모의 침투를 시도하는 사례가 잇따라 포착돼 주의가 요구된다.

[지니언스 시큐리티 센터 보고서 캡처]

◇ SNS 심리전으로 접근…PDF 위장 악성코드 유포

13일 보안 업계에 따르면 지니언스[263860] 시큐리티 센터와 그룹아이비는 최근 북한 연계 위협 그룹의 최신 공격 양상을 분석한 보고서를 각각 공개했다.

지니언스 분석 결과, 북한 연계 그룹 'APT37'은 최근 페이스북에서 표적과 친분을 쌓은 뒤 악성코드를 유포하는 활동을 전개 중이다.

이들은 북한 출신으로 위장한 계정으로 접근해 텔레그램으로 대화 채널을 옮긴 뒤 "암호화된 군사 무기 문서를 보내주겠다"며 가짜 피디에프(PDF) 뷰어 설치를 유도했다.

이는 허위 시나리오로 상대방을 속이는 '프리텍스팅' 전술로 피해자가 설치한 파일은 정상 프로그램을 변조한 악성 소프트웨어였다.

공격자는 의심을 피하고자 일본 부동산 정보 서비스의 서울지점 웹사이트를 명령제어(C2) 서버로 악용했으며 악성 파일을 이미지(JPG) 파일로 위장해 후속 명령을 실행하는 다단계 체계를 구축했다.

이 과정에서 '콤퓨터'와 '프로그람' 등 북한식 외래어 표기가 발견됐으며, 탈취 정보는 합법적 클라우드 서비스인 '조호 워크 드라이브'를 통해 유출됐다.

지니언스 시큐리티 센터는 기술적 취약점보다 사용자 신뢰를 악용하는 소셜 엔지니어링 공격이 늘고 있는 만큼 SNS를 통한 비업무적 접촉과 파일 수신에 대해 엄격한 보안 가이드라인을 준수해야 한다고 강조했다.

[그룹아이비 제공. 재판매 및 DB 금지]

◇ AI 활용 '가짜 개발자'…글로벌 기업 위장 취업 침투

보안 기업 그룹아이비는 북한 IT 인력이 AI 도구를 활용해 글로벌 기업에 위장 취업하는 사례를 적발했다.

그룹아이비 '북한 IT 근로자의 발자취를 따라서' 보고서에 따르면 이들은 합성 신원[009270], AI 기반 입사 지원서, 디지털 플랫폼 등을 활용해 기존 보안 통제망을 우회하며 기업 환경에 접근했다.

그룹아이비는 깃허브, 프리랜서 마켓플레이스, 포트폴리오 사이트 등 다양한 플랫폼에서 활동하는 가짜 개발자 조직 생태계를 발견했다.

이러한 활동은 최소 2012년부터 시작돼 지난 3월까지 지속됐다.

그룹아이비 조사 결과에 따르면 이들은 기존에 노출된 계정 외에도 리포지토리(저장소), 이메일, 포트폴리오 사이트에 걸쳐 광범위한 네트워크가 있었다.

이들은 또 개발자 페르소나를 반복적으로 사용하거나 용도를 변경했으며 기술적 프로필은 유지하면서 개인 이력 세부 사항만 수정하는 수법을 썼다.

이 밖에 생성형 인공지능(AI) 도구를 활용해 설득력 있는 입사 지원서를 작성하고 고용주와 소통하기도 했다.

그룹아이비는 가장 주목할 만한 요소로 체계적인 고용 워크플로우가 담긴 '합성 신원 패키지 저장소'를 꼽았다.

그룹아이비는 해당 작전이 매우 산업화된 규모로 진행되고 있음을 보여주는 증거라고 설명했다.

그룹 아이비 관계자는 "이러한 위협은 단순한 IT 보안 문제를 넘어선다"라며 "북한 연계 근로자를 무의식적으로 고용한 조직은 국제 제재 체계 위반을 포함해 심각한 법적 책임 위험에 직면할 수 있다"라고 강조했다.

kwonhy@yna.co.kr

built@yna.co.kr