[아이뉴스24 김국배 기자] 특정 대상의 안드로이드 기반 모바일 기기를 노린 스피어피싱(Spear Phishing) 공격이 발견됐다.
보안업체 이스트시큐리티는 대북 단체와 국방 분야를 공격 목표로 삼아온 해킹 그룹 '금성(Geumseong) 121'이 이달 들어 이같은 공격을 수행하는 정황을 포착했다고 20일 밝혔다.
공격자는 특정 대상에게 국내 유명 포털사이트를 가장해 가짜 개인정보 보안위협 안내 메일을 발송하고, '네이버 백신 앱'으로 위장된 악성 APK 파일을 설치하도록 유도했다.
만약 이메일 수신자가 속아서 설치할 경우, '네이버 디펜더(Naver Defender)'라는 이름과 특정 포털사 대표 아이콘을 사용하는 악성 앱이 각종 악성 행위를 수행하게 된다.
이스트소프트는 이 해킹 그룹이 3월 현재 한국의 특정 IP주소를 거점으로 활동한 것으로 파악했다. 지난 2017년 또 다른 IP주소를 통해 대북 관련 분야에 소속된 국내 특정인에게 한글(HWP) 문서 취약점 공격을 수행한 것도 확인했다.
두 동격은 모두 동일한 악성 도메인으로 연결되는 공통점이 있으며, 해당 공격 흔적에서 북한식 언어 표현도 일부 발견됐다고 회사 측은 설명했다.
HWP 문서 취약점을 자주 쓰는 것으로 알려진 이 조직은 지난해 카카오톡(PC버전) 메신저를 통해 악성코드를 전파했고, 포털 비밀번호 입력을 요구하는 고전적인 피싱 공격을 수행하기도 했다.
문종현 이스트시큐리티 시큐리티대응센터 이사는 "과거 스피어 피싱은 주로 악성 문서 파일이나 실행파일을 실행하도록 유도하는 데 반해 이번 공격은 안드로이드 기반의 악성 앱을 설치하도록 유도하는 특징이 있다"며 "이제 지능형 지속위협(APT) 공격은 PC를 넘어 스마트폰까지 노리는 추세"라고 말했다.
이어 "악성 앱에 감염될 경우 주소록, 통화기록, 문자메시지, 등록계정, 통화녹음 등 민감한 정보가 유출될 가능성이 있기 때문에 각별한 주의가 요구된다"고 당부했다.
한편, 금성121 해킹그룹은 스카크러프트(카스퍼스키랩), 레드아이즈(안랩), APT37(파이어아이), 그룹123(시스코 탈로스) 등 보안 업체에서 다양한 이름으로 불리고 있다.
김국배기자 vermeer@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기