중국 해킹그룹에 의해 우리말학회 등 우리나라 12곳의 학술기관이 해킹당한 가운데 북한 해커 조직이 가상화폐 탈취를 위해 '구인 제안'과 '연봉 조정' 등의 이메일을 보내는 등 새로운 피싱 수법을 시도하고 있다는 분석이 제기됐다.
미국 정보기술(IT) 보안업체인 프루프포인트가 최근 발간한 보고서에 따르면 북한 해커조직인 TA444가 북한의 수익창출을 가져다주는 가상화폐를 탈취하기 위해 새로운 방법을 시도하고 있다. TA444는 북한의 해킹 조직으로 잘 알려진 APT38, '라자루스'와 같이 북한 정권과 연계된 조직이다.
지난해 12월 미국과 캐나다의 금융, 교육, 정부, 의료 분야를 겨냥한 대규모 피싱 공격을 시작한 이 조직은 최근들어 이용자 비밀번호와 로그인 정보를 얻기 위해 기존과 다른 방법을 시도하고 있다고 보고서는 분석했다.
해커들은 피싱 필터를 피하려고 이메일을 통해 접근하고 있다는 것이다. 이들은 타깃 대상을 유인하기 위해 유명 기업의 구인 제안이나 연봉 조정, 가상화폐 블록체인 분석 등의 위장 콘텐츠를 활용해 접근하고 있다. TA444는 이용자들을 쉽게 접촉할 수 있는 이메일 플랫폼인 센드인블루(SendInBlue), 센드그리드(SendGrid) 그리고 링크트인을 사용했다.
이들은 '관리자'(Admin)를 사칭해 메일(admin@sharedrive.ink)을 보냈고, 이메일을 클릭하면 이용자의 개인정보가 고스란히 수집되도록 했다. 보고서는 "이런 방식은 그동안 악성 프로그램을 직접 배포했던 TA444의 일반적인 활동에서는 벗어난 것"이라고 설명했다. 실제로 지난해 12월 한달간 T444가 보낸 스팸메일이 지난해 1년간 보낸 이메일의 거의 2배에 달했다.
보고서는 TA444가 2021년 4억달러에 가까운 가상화폐 자산을 탈취했고, 지난해에는 10억달러 이상을 모았을 것으로 추측했다. 보고서는 "북한이 가상화폐 가치 하락을 간신히 견뎌내면서 여전히 가상화폐를 정권의 자금수단으로 활용하려는 노력에 몰두하고 있다"고 했다.
Copyright @ NEWSTREE All rights reserved.
