요약: 북한은 철저한 감시하의 인터넷 통제를 유지하면서도, 엘리트 중심의 해커 조직을 통해 국제 사이버 범죄 및 정보전에 적극적으로 개입하고 있음. 이들은 정권의 생존과 외화 확보 수단으로서, 전 세계를 대상으로 한 사이버 위협을 가중시키고 있으며, 이에 대한 정밀한 대응과 지속적 감시가 요구된다.
오픈AI가 북한의 계정을 삭제했는데, 이는 해당 국가들이 챗GPT를 이용해 여론 조작 및 사기 행위를 저질렀기 때문이다.
북한은 허위 이력서를 만들어 해외 취업 사기를 시도했다.
오픈AI는 자사 기술의 악용을 방지하고 권위주의 정권의 부당한 행위를 막기 위해 AI 기반 조사 기능을 활용하고 있다고 밝혔다.
북한 연계 사이버 위협 – AI 활용 위장취업 전략 분석
출처: OpenAI 내부 보고서 (2025년 2월) 작성일: 2025년 2월 11일
이미지 출처 : S2W https://s2w.inc/ko/news/detail/336
1. 개요
최근 OpenAI는 인공지능(AI) 모델을 악용한 북한 연계 위장취업(Deceptive Employment Scheme) 활동을 탐지하고 차단하는 조치를 시행했다. 해당 활동은 북한 IT 인력이 미국 및 서방 기업에 위장 취업하여 불법적으로 외화를 조달하는 방식과 일치하며, Microsoft 및 Google이 앞서 발표한 북한 IT 위장취업 작전과 유사한 패턴을 보인다.
이 조직은 VPN, 원격 접속 도구(AnyDesk), VoIP 전화망을 활용하여 미국 내에서 활동하는 것처럼 위장하며, LinkedIn 등 구인·구직 플랫폼을 활용해 신분을 속이고 취업 과정을 조작하는 것으로 확인됐다.
2. 주요 위협 요소 및 분석
(1) 공격자 행위
다수의 계정을 활용하여 서방 기업 취업을 위한 문서(이력서, 자기소개서 등)를 생성.
가상의 지원자 프로필을 작성하여 채용 과정을 조작.
허위 추천인을 만들어 기업의 신원 확인 절차를 우회.
AI 모델을 활용하여 기술 면접에서 신뢰할 수 있는 응답을 생성.
채용 이후 회사 시스템에 원격 접속하여 보안 위협을 초래.
AI를 활용하여 사이버 방어 회피 전략(비디오 회피, 접근 국가 위장 등) 생성.
(2) 공격 기법
구분공격 방식세부 내용
1단계
신원 위조
- 가짜 이력서, 온라인 프로필 생성 - AI 활용하여 맞춤형 채용 서류 작성
2단계
추천인 위장
- 허위 추천인 설정 및 추천서 생성 - 실제 직원과 연결된 것처럼 보이도록 AI 활용
3단계
채용 프로세스 조작
- AI로 면접 질문에 대한 응답 자동 생성 - 신원 확인 과정에서 조작된 서류 제출
4단계
업무 수행 위장
- 채용 후 AI를 이용하여 업무 수행 - 보안 정책을 우회하기 위한 전략 설계
5단계
기업 내부 침투
- 회사 시스템 원격 접속 및 기업 내부 데이터 접근 - 북한 정권을 위한 정보 탈취 및 자금 유입
3. 활용된 기술 및 전술(TTPs)
AI 기반 문서 생성: 맞춤형 이력서, 자기소개서, 추천서 자동 생성
AI 기반 면접 응답: 기술적·행동적 질문에 신뢰성 높은 응답 자동 생성
소셜 엔지니어링: LinkedIn 등 SNS에서 실제 기업 관계자를 속여 추천 유도
보안 정책 우회: 원격 접속 시도, VPN 활용, 접속 국가 위장
기업 보안 침투: 내부 시스템 접근 후 보안 위협 조성
4. 파급 효과 및 위협 평가
(1) 국가 안보 및 산업 영향
서방 IT·방산·금융 기업의 보안 위협 증가
북한 IT 인력의 취업 성공 시, 기업 내부 시스템 침투 및 정보 탈취 가능성 증가
미국 및 우방국 내 주요 기술·보안 인프라 위협
북한의 불법 외화 조달 활동 지속
북한 IT 노동자들은 연간 최대 30만 달러를 벌어들이며, 조직적으로 3백만 달러 이상 송금 가능
미 국무부가 북한 IT 노동자 관련 정보 제공 시 최대 500만 달러 포상금 지급
(2) 기존 탐지 시스템 회피 가능성
AI 기술을 활용한 채용 문서 생성 및 면접 응답으로 기존의 신원 확인 시스템을 효과적으로 우회
VPN 및 원격 접속 도구 활용으로 IP 기반 보안 모니터링 우회
기존 보안 솔루션으로 탐지 어려운 소셜 엔지니어링 기법 활용 증가
5. 대응 방안 및 권고 사항
(1) 보안 기관 및 기업 대상 권고
✅ AI 기반 신원 확인 기술 도입:
AI 및 머신러닝을 활용한 신규 채용자 신원 검증 프로세스 강화
의심 계정 및 활동 패턴 탐지 알고리즘 도입
✅ 기업 내부 보안 교육 강화:
IT·방산·금융 부문 대상 사이버 보안 교육 및 위협 인텔리전스 공유 확대
채용 프로세스에서 가짜 추천인 및 허위 정보 판별 시스템 구축
✅ 사이버 방어 체계 강화:
VPN 및 원격 접속 도구 사용 모니터링 강화
북한 IT 인력의 취업 시도를 사전 차단하기 위한 국제 공조 강화
6. 결론
이번 OpenAI 보고서를 통해 북한 연계 사이버 위협 그룹이 AI를 활용하여 위장 취업을 시도하고 있음이 확인됨.
AI 기반 이력서·추천서 위조, 면접 조작, 업무 수행 위장, 기업 내부 침투 전략이 조직적으로 운영됨.
북한 IT 노동자들의 활동이 서방 IT, 방산, 금융 분야로 확대되고 있으며, 연간 수백만 달러의 외화 조달이 이루어지고 있음.
미 국무부 및 법무부는 북한 IT 노동자 고용 차단을 위한 국제 공조 및 포상금 지급 제도 시행 중.
따라서 한국 정부 및 방산·IT 기업들은 채용 보안 프로세스를 강화하고, AI 기반 위장취업 탐지 기술을 도입하는 것이 필수적이다.
원문
February 2025
Disrupting malicious uses of our models: an update
February 2025
Deceptive Employment Scheme
Our mission is to ensure that artificial general intelligence benefits all of humanity. We advance this mission by deploying our innovations to build AI tools that help people solve really hard problems.
As we laid out in our Economic Blueprint in January, we believe that making sure AI benefits the most people possible means enabling AI through common-sense rules aimed at protecting people from actual harms, and building democratic AI. This includes preventing use of AI tools by authoritarian regimes to amass power and control their citizens, or to threaten or coerce other states; as well as activities such as child exploitation, covert influence operations (IOs), scams, spam, and malicious cyber activity. The AI-powered investigative capabilities that flow from OpenAI’s innovations provide valuable tools to help protect democratic AI against the measures of adversarial authoritarian regimes.
It has now been a year since OpenAI became the first AI research lab to publish reports on our disruptions in an effort to support broader efforts by U.S. and allied governments, industry partners, and other stakeholders, to prevent abuse by adversaries and other malicious actors. This latest report outlines some of the trends and features of our AI-powered work, together with case studies that highlight the types of threats we’ve disrupted.
Threat actors using AI and other technologies to support deceptive hiring attempts
Actor
We banned a number of accounts that were potentially used to facilitate a deceptive employment scheme. The activity we observed is consistent with the tactics, techniques and procedures (TTPs) Microsoft and Google attributed to an IT worker scheme potentially Disrupting malicious uses of our models: an update February 2025 10 connected to North Korea. While we cannot determine the locations or nationalities of the actors, the activity we disrupted shared characteristics publicly reported in relation to North Korean state efforts to funnel income through deceptive hiring schemes, where individuals fraudulently obtain positions at Western companies to support the regime’s financial network.
Behavior
The various accounts used our models to generate content seemingly targeting each step of the recruitment process with different deceptive practices, all designed to be mutually supporting (see “Completions”, below).
The actors used virtual private networks (VPNs), remote access tools such as AnyDesk, and voice over IP (VOIP) phones largely appearing to be located in the United States. While our visibility into the ways these actors distributed their content is limited, we identified content posted to LinkedIn.
Completions
One main set of content generated by these actors consisted of personal documentation for the fictitious “job applicants”, such as resumés, online job profiles and cover letters. These resumés and profiles were frequently tailored to a specific job listing to increase the chances of appearing as a well qualified candidate. A second set consisted of creating “support”
personas which were used to provide reference checks for the “job applicants” and refer them for employment opportunities.
In parallel, the operators crafted social media posts to recruit real people to support their schemes. These included, for example, individuals willing to receive and host laptops from their home or lend their identities to the scheme to enable the applicants to pass background checks.
Disrupting malicious uses of our models: an update February 2025 11 Finally, the “job applicant” personas appear to have used our models in interviews to generate plausible responses to technical and behavioral questions. However, we did not observe them using our speech-to-speech tools.
After appearing to gain employment they used our models to perform job-related tasks like writing code, troubleshooting and messaging with coworkers. They also used our models to devise cover stories to explain unusual behaviors such as avoiding video calls, accessing corporate systems from unauthorized countries or working irregular hours.
Example of content this actor used our models to generate before then posting to a social networking site, with
the apparent aim of recruiting U.S. citizens into unknowingly supporting their scheme. Disrupting malicious uses of our models: an update February 2025 12Impact Given our visibility into only a small portion of this overall set of activity, assessing its impact would require inputs from multiple stakeholders.
OpenAI's policies strictly prohibit use of output from our tools for fraud or scams. Through our investigation into deceptive employment schemes, we identified and banned dozens of accounts. We have shared insights about the fraudulent networks we disrupted with industry peers and relevant authorities, enhancing our collective ability to detect, prevent, and respond to such threats while advancing our shared safety.
외화벌이 활동: 북한 IT 인력들이 증강현실(AR) 및 가상현실(VR) 분야에서 활동하며, 다크웹을 통해 외화를 벌어들이고 있음. 이들은 해외 기업과의 협업을 통해 수익을 창출하고 있으며, 이러한 활동은 북한의 외화 확보 수단으로 활용되고 있음.
다크웹을 통한 정보 유출: 북한 내부의 IT 기술자들이 불법 소프트웨어를 사용하면서 악성코드에 감염되어, 내부 문서와 계정 정보 등이 다크웹에 유출되는 사례가 발생하고 있음. 이는 북한의 보안 체계에 취약점이 존재함을 시사하며, 내부 정보의 외부 유출로 이어지고 있음.
3. 분석 및 평가
외화벌이 활동의 의의: 불법 소프트웨어 도구와 다크웹 네트워크를 통해 북한의 외화벌이 전략이 강화되고 있음. 이는 제재 회피 및 군사적 자금 조달의 일환으로 보임.
보안 취약점과 정보 유출: 불법 소프트웨어 사용으로 인한 악성코드 감염은 북한 내부 정보의 유출로 이어지고 있으며, 이는 북한의 정보 보안 체계에 심각한 취약점이 있음을 나타냄. 북한의 이러한 활동은 다국적 기업 및 국가의 보안 시스템에 직접적인 위협을 초래. 특히, 암호화폐 및 금융 관련 해킹 시도는 지속적으로 증가할 가능성이 있음.
사이버 전력 강화: 크랙 및 해킹 도구 활용은 북한이 사이버 전력 강화를 위해 지속적으로 투자하고 있다는 증거.
4. 대응 방안
국제적 협력 강화: 다크웹에서의 북한 IT 인력 활동을 추적하기 위해 국제적 정보 공유 및 협력을 강화할 필요. 금융기관 및 암호화폐 거래소 대상 보안 강화 조치 및 경고.
북한 내부 보안 취약점 활용: 다크웹을 통해 유출된 북한 내부 정보를 분석하여 북한의 정보 체계 취약점을 파악. 북한의 정보망 내 약점을 활용한 정보 수집 활동 강화.
이번 푸틴 방북은 2000년 이후 24년 만에 러시아 지도자의 방북이라는 점에서 그 자체만으로도 러북 간 정상 외교의 의미가 있다. 또한 푸틴 러 대통령이 그간 국제형사재판소(ICC) 제소로 대외활동에 위축된 모습을 보였던 반면 집권 5기를 시작하며 국제활동 재개라는 의미도 있다. 다른 한편으로는 푸틴이 북한과 베트남을 연이어 방문하며 동북아·인태 지역에서 러시아의 전략적 공간을 확보하려는 시도의 성격도 갖고 있다. 푸틴 러 대통령의 방북은 이미 예견되어 있었고, 한국에 대해서도 일종의 사전 정지작업이 진행되었다. 푸틴은 6월 5일 러시아 경제포럼인 ‘상트페테르부르크 국제경제포럼(SPIEF)’ 개막 행사에서 이례적으로 한국에 매우 우호적 태도를 보였다. 푸틴의 방북 일정이 확정된 시점에서 한러관계를 조율하고 방북으로 인한 불필요한 한반도 긴장 국면을 해소하려는 의도였다. 이번 푸틴의 방북으로 얼마나 러북관계가 밀착되고 결과물이 나올지 이목이 쏠리고 있다.
1. 요약 2024년 6월 13일 저녁 7시를 기해 북한은 푸틴 대통령의 방북을 준비하며 수도 평양과 주요 군사 지역에 특별경비주간을 선포하고 전역에서 강화된 군사적·행정적 지시를 내렸다. 주요 공항과 도로의 통제, 평양 출입 단속 강화, 시장 폐쇄 명령 등이 포함된 조치를 통해 철저한 준비 태세를 갖추고 있다.
2. 경계 태세 강화
특별경비주간 선포: 6월 13일 저녁 7시를 기해 평양과 국경 지역에 특별경비주간이 선포됨.
전방군단 경계 태세 강화: 남북 접경지역 전연군단에 경계 태세 강화 지시가 하달됨. 도발 감지 시 선보고 후명령 체제 유지.
북부 국경 지역 경계 강화: 중국과 맞닿은 북부 국경 지역의 경계 강화, 국경경비대에 실탄 3발 지급.
3. 평양 및 주요 지역 통제
평양 순안국제공항 일대 군병력 투입: 푸틴 대통령의 전용기 도착 예상 지역인 순안국제공항에 군병력 투입, 24시간 경계 태세 돌입.
주요 도로 통제: 순안공항에서 평양시 중심구역으로 들어가는 주요 도로 통제, 평양 외곽에서 중심구역으로 들어가는 도로 봉쇄.
4. 행정 및 사법 명령
평양 출입 제한: 6월 13일부터 평양으로의 출입 제한, 다른 지역 주민의 평양 출입 금지, 평양 출입 승인번호 발급 중단.
인민반 감시 강화: 각 지역 인민위원회는 인민반에 등록된 거주자 외 타지 유입 인원 감시 강화, 숙박검열 수시로 진행.
5. 시장 폐쇄 및 주민 통제
평양시 시장 폐쇄: 평양시 인민위원회 상업부는 푸틴 대통령 방북 기간 동안 평양시 전역의 시장 일시 폐쇄 명령.
평양시 안전부 비상 체제 돌입: 24시간 비상 체제, 부랑자 및 거동 수상자 강제 연행 및 감금 조치.
“2009년 이후 히든 코브라 행위자들은 기술 역량을 이용해 다양한 공격 대상에게 피해를 입혔다. 상업 기관의 보고서에서는 이 활동을 라자루스 그룹(Lazarus Group)과 평화의 수호자(Guardians of Peace)라는 명칭으로 언급했다.
국토안보부와 연방수사국은 히든 코브라 행위자들이 북한 정부의 군사적․전략적 목표를 진전시키기 위해 사이버 작전을 계속 수행할 것이라고 평가한다.”
□ 하의원이 18일 ‘해킹피해 예방을 위한 북한 등 해킹수법 정보공개법’을 발의했다. 北해킹정보공개법은 국가정보원법을 개정한 것으로 북한 등의 해킹범죄 수법과 예방대책 등의 정보를 국회와 국민에 의무적으로 공개토록 하는 내용을 담고 있다.
□이 법은 2015년 제정된 미국 「사이버안보 정보공유법」의 실제 적용 사례에서 모티브를 얻었다. 미국은 법 제정 이후 정부부처 간 합동경보를 발령하거나 보고서를 작성하는 형식으로 해킹범죄 수법과 예방조치를 적시에 국민들에게 공개하고 있다.
□최근 미 법무부가 전 세계 은행을 대상으로 1조4천여억원을 탈취한 혐의로 북한 해커 3명을 기소한 해킹범죄 역시 지난 2017년 6월 범죄 배후와 수법이 공개된 바 있다. 당시 미 국토안보부는 FBI와 공동으로 경보를 발령하고 북한의 해킹 조직 히든코브라를 배후로 지목했다. 북한이 슬로베니아 가상화폐거래소와 세계 각국 은행을 대상으로 해킹범죄를 감행하고 한 달 가량 된 시점이었다. 또 같은 수법으로 인한 피해가 발생하지 않도록 범죄에 사용된 IP주소와 악성코드 분석 보고서를 공개하기도 했다. [참조 1]
□ 미국은 이 경보 보고서에서 해킹 조직이 북한 정부의 군사, 전략적 목표 진전을 위해 작전을 계속 수행할 것이라고 평가하고 지속적인 추적에 나섰다. 그 결과 2017년 12월에는 호주, 캐나다, 뉴질랜드, 영국과 함께 해당 해킹범죄의 배후 국가로 북한을 공식 지목, 규탄했다.
□ 지난 16일 국가정보원도 국회 정보위원회에서 우리나라 공공부문에 대한 북한 등의 해킹공격이 하루 158만건에 달하며 이는 전년 대비 32% 증가한 수치라고 보고했다. 이미 셀트리온 등 국내 제약회사와 업비트 등 암호화폐 거래소에 대한 해킹공격이 북한의 소행으로 확인되기도 했다. 하지만 원은 외부세력의 구체적인 해킹수법 공개를 거부하고 특히 화이자 공격 등 북한의 명백한 해킹 사실에 대해서는 사실관계조차 확인해주지 않고 있다.
□ 하의원은 “해킹피해 예방을 위해서는 해킹수법과 방지대책 등을 적시에 공개하는 것이 최선”인데도 “우리나라 사이버 안보를 총괄하는 국정원은 그 책임을 회피하고 북한 해킹 관련 정보를 숨기는 데만 급급하다”고 지적했다. 이어 “북한 등 외부세력의 해킹정보가 낱낱이 공개된다면 범죄피해를 예방하고 국민의 안전과 재산을 지키는데 큰 도움이 될 것”이라며 법안 발의 배경을 설명했다.
북 추정 해커, 휴대폰 번호 탈취 후 카톡 계정 도용해 악성코드 유포 카카오톡과 네이버 계정 탈취 노린 피싱 사이트, 지속적으로 탐지 가상화폐 노린 계정 정보 탈취와 탈북자 타깃 카톡 공격도 포착
[보안뉴스 김경애 기자] 북한 추정 해커들이 카카오톡 등 SNS를 활용해 다각도의 사이버공격을 감행하고 있다. 카카오톡과 페이스북 등 계정을 도용해 PC 메신저 이용자 대상으로 문서 파일을 전송해 악성코드 감염을 유도하고 있는 정황이 포착돼 이용자들의 각별한 주의가 필요하다.
6일 보안업계에 따르면 북한 추정 해커가 다양한 방법으로 휴대폰 번호를 입수해 카카오톡에 등록한 후, 프로필 사진과 이름을 도용하고 있으며 도용한 계정으로 지인들에게 접근해서 카카오톡 PC 메신저를 대상으로 문서 파일을 보내서 악성코드를 감염시키고 있다.
또 다른 보안업체는 카카오톡이나 네이버 계정 탈취 등을 노린 피싱사이트가 지속적으로 탐지되고 있다고 밝혔다. 이를 바탕으로 가상화폐 거래소의 계정 탈취 및 도용을 시도하고 있을 가능성이 높다는 것이다.
이에 대해 익명의 보안전문가는 “가상화폐 거래소에서 일반적으로 추가 인증을 받고 있는데, 여기에는 메일 계정, 카카오톡 계정 인증, 계좌 인증 등을 요구하고 있어 이러한 인증을 뚫기 위해 피싱사이트를 유포할 가능성도 있다”고 예측했다.
보안연구 그룹인 모의침투연구회 관계자는 “카카오톡 계정 도용을 통해 다른 사람들에게 시도한 공격이 성공하면, 악성파일 뿐만 아니라 링크를 첨부로 위장한 사이트나 구글 URL 단축 기능을 이용해 또 다른 공격을 시도하기도 한다”며 “연결고리 형태로 계속 정보를 탈취할 것”이라고 우려했다.
이와 함께 탈북자를 노린 카카오톡 공격도 지속적으로 탐지되고 있는 것으로 알려졌다. 본지에서 보도한 것처럼 뉴스 기사를 미끼로 단축 URL을 전송하거나 북한관련 앱 다운을 유도하는 방법 등으로 지인을 가장한 SNS 공격에 공을 들이고 있는 상황이다. 이로 인해 SNS 계정관리가 더욱 중요해질 것으로 보인다.
따라서 이용자는 카카오톡에서 지인이 메시지를 전송하거나 말을 걸면 지인이 맞는지 확인과정을 거치는 것이 바람직하다. 특히, 계정 도용의 경우 이용자의 사진과 이름이 똑같기 때문에 지인이 정말 맞는지 추가적으로 확인할 필요가 있다. [김경애 기자(boan3@boannews.com)]
[ IntelligenceSecurityCERT 북한 이슈 인터뷰/제보/분석 내용] DDE 공격 북 추정 해커, 이번엔 OLE 악용해 공격
북한 추정 해커 : DDE, OLE, EPS, 고스트스크립트 등 기능 악용 워드나 한글 문서 파일에 기능 접목...악성파일 심어 이메일 통해 유포
[보안뉴스 김경애 기자] 북한 추정 사이버공격이 줄줄이 포착되고 있어 인터넷 이용자들의 각별한 주의가 필요하다. 해커는 DDE(Dynamic Data Exchange), EPS(Encapsulated Postscript), 고스트스크립트(Ghostscript), OLE(Object Linking and Embedding)와 같은 프로그램 기능을 워드문서나 한글문서에 악용해 악성파일로 만들었다. 이 악성파일은 이메일로 유포되며 곳곳에서 탐지되고 있다. 이에 따라 이메일 열람시 각별한 주의가 필요하다.
[이미지=한국인터넷진흥원]
이와 관련해 본지는 지난 1일 DDE 기능을 이용한 공격에 대해 보도한 바 있다. 이 공격은 MS 워드 문서에 DDE 기능을 이용해 악성코드에 감염되도록 하고 있다. 그런데 이 기능을 이용한 공격과 함께 다른 기능을 악용한 악성파일이 지난 3월부터 최근까지 지속적으로 발견되고 있다.
[이미지=한국인터넷진흥원]
모의침투연구회에서 북한 사이버공격을 지속적으로 연구한 한 관계자는 “탈북자를 대상으로 DDE 기능과 악성 쉘 스크립트를 사용한 워드 DOC 파일 문서와 한글 악성파일이 모니터링을 통해 발견됐다”며 “기존에 발견된 악성파일에서 제목과 발신자만 다를 뿐 파월셀 악성 스크립트 등은 모두 동일하며, 3월 27일, 6월 23일, 10월 26일 총 3번의 공격 시도가 있었다”고 밝혔다.
그런데 동일 공격자인 북한 추정의 해커가 워드 문서에 이어 한글 문서인 HWP 파일에 OLE(Object Linking and Embedding) 기능을 악용해 공격한 정황도 포착됐다.
이메일을 통해 유포된 한글 악성파일에는 ‘그 동안 여러 단체장님들과 애국시민님들의 헌신적인 노력으로 미흡한대로 북한인권법이 통과 되었다’며, ‘시행령 제정 및 북한인권재단 설립작업도 마무리 됐으니 단체장 연석회의를 열고 논의하자’는 내용이 담겨 있다.
이 악성파일은 지난 1일 발견됐으며, 한글문서에 OLE 기능을 악용해 정보수집용 악성코드를 넣어 악의적인 행위를 실행하도록 만들었다.
OLE 기능은 MS 워드나 한글 문서 등과 같이 OLE가 지원되는 그래픽 프로그램에서 그림 등을 삽입할 수 있다. 이와 관련해 한 보안전문가는 “객체 삽입도 원래 있는 기능으로, 문서나 동영상 등을 넣을 수 있다”며 “공격자는 악성코드를 삽입해 사용자 클릭을 유도한다. 이는 과거에도 여러차례 발생한 이슈이며, 여기에는 사회공학적 기법이 사용된다”고 분석했다.
▲이메일로 유포된 북한 추정의 악성파일[이미지=보안뉴스 입수]
이 뿐만 아니다. 북한 추정 해커는 안보 단체, 북한 인권 운동가, 북한 내용을 다루고 있는 기자, 탈북자 등 특정인을 타깃으로 한 APT 공격도 감행하고 있다. 이들을 대상으로 이메일에 악성파일을 첨부해 악성코드 감염을 유도하고 있다. 그중 한글 악성 파일의 경우 EPS와 고스트스크립트(Ghostscript) 기능을 악용한 정황이 포착됐다.
한 보안전문가는 “해커가 탈북자 등을 타깃으로 공격방식을 바꾼 것으로 보인다. EPS 취약점을 악용해 한글 내 문서에 문제가 있는 것처럼 창 모양 이미지를 넣어두고 사용자가 에러창으로 인식하게 해 클릭을 유도한다”며, “EPS 취약점 가지고 있는 문서는 사용자가 문서 읽는다고 내리면 실행된다. 이와 관련해서는 이미 2016년 한글과 컴퓨터 측에서 업데이트하며 기능을 빼버려 패치된 상태이며, 취약점 자체도 CVE-2015-2545”라고 설명했다. 이는 악성파일 감염자가 취약점이 패치되기 이전의 낮은 버전을 사용하고 있었다는 얘기다.
▲이메일로 유포된 북한 추정의 악성파일[이미지=보안뉴스]
이어 지난해 12월 ‘김일성 평전’이라는 제목으로 칼럼을 작성한 한 기자에게도 APT 공격을 감행한 정황이 포착됐다. 첨부파일로 위장한 악성파일의 제목은 ‘김일성의 실체’라고 해서 수신을 유도하는 등 사전조사를 통해 정보를 수집한 후 사회공학적 수법을 이용하는 등 주도면밀하게 공격했다.
해커는 문재인 정권의 친북 좌파 정책으로 해산됐지만 북한 독재를 무너뜨리기 위한 활동을 계속하고 있다는 문구와 함께 84.52MB 크기의 ‘김일성의 실체.zip’ 대용량 파일 1개를 첨부했다. 해당 파일은 100회 다운로드가 가능하다고 소개하며 10월 18일까지 30일 보관된다는 문구가 포함돼 있다.
이처럼 북한 추정의 악성파일 유포가 지속적으로 발견되고 있는 만큼 각별한 주의가 필요하다.
이와 관련해 한국인터넷진흥원 측은 “최근 MS오피스 DDE 기능 등을 이용한 악성코드 유포 사례(악성 이메일 발송)가 확인되고 있다”며 “보안담당자는 첨부 파일이 포함된 메일에 대한 검사를 강화하고, 출처가 불분명한 메일은 삭제 또는 스팸 처리하거나 118사이버민원센터로 신고해줄 것”을 당부했다.
[이미지=한국인터넷진흥원]
MS 오피스의 DDE 기능을 사용하지 않을 경우 해제 방법(Office word 2013 기준)은 ①MS워드 실행 → ②메뉴에서 파일 선택 → ③옵션 → ④고급 → ⑤일반 → ⑥‘문서를 열 때 자동 연결 업데이트’ 체크 해제를 통해 피해를 예방할 수 있다. [김경애 기자(boan3@boannews.com)] http://www.boannews.com/media/view.asp?idx=57828
