IT 개발자들 노린 北 해킹 조직 ‘사파이어슬릿’ 경계령

정보기술(IT) 업계에 최근 북한 해킹 조직 ‘사파이어슬릿’을 조심하라는 해킹주의보가 내려졌다. 사파이어슬릿은 IT 개발자들의 기술을 평가하는 가짜 웹사이트를 만들어 개발자들을 유인한 뒤 개인정보를 탈취하는 수법을 쓰고 있다. 악성코드를 포함한 첨부파일을 이메일로 보내는 등 ‘전통적 수법’에서 진화한 방식을 쓰고 있어 각별한 주의가 필요하다는 지적이다.

26일 IT업계에 따르면 마이크로소프트(MS)는 최근 IT 분야 개발자들을 노린 사파이어슬릿이 만든 가짜 웹사이트의 위험성을 경고했다. 사파이어슬릿은 북한의 군사정보기관인 정찰총국 소속 해킹 그룹 ‘라자루스’의 산하 조직으로 알려졌다. 사파이어슬릿은 ‘APT38’ ‘블루노로프’로도 불린다. 한국 정부는 지난 2월 첫 사이버 대북 독자 제재 대상으로 라자루스 그룹과 블루노로프 등을 지정한 바 있다.


사파이어슬릿은 자금 확보를 위해 주로 가상화폐 관련 조직과 전문가를 노린 공격 임무를 진행했다. 지난달 말 유엔 안전보장이사회 산하 대북제재위원회 전문가 패널이 공개한 중간보고서에 따르면 지난해 북한이 탈취한 가상화폐 규모는 17억 달러에 달한다.

특히 사파이어슬릿은 IT 개발자들의 기술을 평가하는 가짜 웹사이트를 만들어 개인정보 탈취를 시도한 것으로 파악됐다. 예를 들어 사파이어슬릿은 구인·구직 소셜미디어 ‘링크드인’을 통해 접촉한 구직자들에게 합법적인 것처럼 보이는 기술 평가 웹사이트를 이용하도록 유도한다. 개발자 맞춤형 구인 메시지를 보내는 수법이다.

구직자들은 이 사이트에서 기술 평가 절차를 진행하기 위해 계정을 등록해야 한다. 이 과정에서 해커들은 개발자들의 비밀번호나 인증서 등 민감한 개인정보를 빼내 해킹에 이용하거나 이 정보를 판매한다. 현재 사파이어슬릿이 구축한 가짜 기술 평가 웹사이트들은 MS에 의해 차단된 상태다.

MS는 사파이어슬릿의 해킹 수법이 변화했다면서 각별한 주의를 요구했다. 과거 사파이어슬릿은 악성코드가 포함된 첨부파일을 개인 이메일 등에 보내며 해킹 대상자에게 접근했다. 그러나 첨부파일이 악성이라는 점이 보안 프로그램을 통해 탐지되기 시작했다. 이에 사람에게 직접 접근해 정교한 속임수를 쓰는 식으로 수법이 바뀐 것으로 알려졌다.

IT업계 관계자는 “북한 해커는 수집 정보를 활용해 기업 네트워크에 침입하거나 금융사기를 시도할 수 있다”며 “의심스러운 웹사이트에 접속하는 행위를 하지 말아야 한다”고 말했다.

전성필 기자 feel@kmib.co.kr

GoodNews paper ⓒ 국민일보(www.kmib.co.kr), 무단전재, 수집, 재배포 및 AI학습 이용 금지