연결 가능 링크

“북한 해커 그룹, 미국 대형 리테일 웹 해킹 통해 빼낸 정보 팔아 이득 취해”


사이버 공격 일러스트.
사이버 공격 일러스트.

북한 해커 그룹 `라자루스’와 `히든 코브라’와 연계된 해커들이 미국의 대형 리테일 웹들을 해킹해 소비자 정보를 빼낸 뒤 불법적으로 판매해 이익을 얻어왔다는 주장이 제기됐습니다. 북한 해커들이 과거 러시아와 인도네시아 등이 사용한 수법보다 더 고도화된 해킹 방식을 사용하고 있다는 지적입니다. 김카니 기자가 보도합니다.

네덜란드 보안업체 `산섹’은 6일 공개한 보고서에서 북한과 연계된 해커들이 미국 대형 리테일 회사들의 온라인 결제 페이지에 악성 코드를 심어 소비자들이 상품 결제시 입력한 신용카드 정보를 빼돌리는 수법을 지난해 5월부터 사용해왔다고 밝혔습니다.

보고서를 작성한 이 회사 윌리엄 디 그룻 연구원은 이날 VOA에, 해커들은 미국의 대형 리테일 업체들을 주요 표적으로 삼아 악성 코드가 담긴 파일을 첨부한 이메일을 직원들에게 발송하는 ‘스피어피싱’ 방식을 사용했다고 말했습니다.

[녹취: 디 그룻 연구원] “They target specific large retailers, mostly the US ones. What they normally do is they run spearfishing campaigns. They target staff members and send them deliberate fake messages inciting them to install malware. Once they have control of the computers of staff members, they move to the store and what they do is they inject a particular piece of code…”

맬웨어를 설치해 해당 업체 컴퓨터에 접근 권한이 생기면 온라인 결제 페이지에 악성 코드를 심어 쇼핑객들이 결제시 입력하는 신용카드 정보와 개인 식별 정보를 훔치는 스키밍(skimming) 공격을 감행한다는 겁니다.

해킹 공격에 이용되는 악성코드를 띄워놓은 노트북 컴퓨터 화면.
해킹 공격에 이용되는 악성코드를 띄워놓은 노트북 컴퓨터 화면.

스키밍(skimming) 공격은 2015년부터 러시아, 브라질, 인도네시아 등의 국가들이 사용한 방식입니다.

북한은 공격 웹사이트들에 특수화된 악성 코드를 심는 등 이전의 수법보다 더 고도화된 해킹 방식을 사용했다고, `산섹’ 측은 밝혔습니다.

디 그룻 연구원은 한 명의 신용카드와 개인정보는 온라인 불법 웹사이트에서 미화 약 5달러에 거래되고 있고, 해커들은 더 많은 이익을 낼 수 있는 큰 규모의 업체들을 공격했다고 말했습니다.

[녹취: 디 그룻 연구원] “It seems that they are deliberately attacking larger stores where there is presumably a larger profit to be made. I cannot disclose all of them but the big one was Claire's who has 3000, or more stores worldwide…”

디 그룻 연구원은 해킹 공격을 받은 대형 업체들을 모두 공개할 수는 없다며, 전 세계 3천 개 점포를 갖고 있는 미국의 패션 체인 클레어스에 대한 공격을 사례로 제시했습니다.

`산섹’은 미국 대형 리테일 업체들에 심었던 악성 코드와 해킹 인프라 구조가 북한 해커들이 한국 정부와 업체들을 해킹했을 때 사용했던 악성 코드 언어와 인프라 구조가 동일했다고 밝혔습니다.

악성코드에 감염된 컴퓨터에 뜬 초기 화면
악성코드에 감염된 컴퓨터에 뜬 초기 화면

[녹취: 디 그룻 연구원] “Now I found the same infrastructure that was used to steal payment data from American consumers and because it's in the same time frame, it's happening before and after the attack to South Koreans. There's a huge overlap in activity so we find it.”

또, 북한 해커들이 한국 정부와 업체들을 대상으로 해킹을 감행했던 시점이 겹쳤다는 점도 근거로 들었습니다.

`산섹’은 온라인 결제 페이지에서 악성 코드가 심어져있는지 판단하는 것은 숙련된 연구가들도 몇 시간이 걸리기 때문에 일반 소비자들은 쉽게 공격에 노출될 수밖에 없다고 우려했습니다.

[녹취: 디 그룻 연구원] “For consumers it's really hard because it happens, completely transparent so even for an experienced researcher it takes a couple of hours to, to identify whether something is a miss.”

`산섹’은 리테일 업체들이 악성 코드를 쉽게 감지할 수 없는 점을 악용해 해커들이 리테일 웹에 맞춤 악성 코드를 개발시키는 등 해킹 수법을 진화시킬 것으로 내다봤습니다.

VOA 뉴스, 김카니입니다.

XS
SM
MD
LG