[데이터넷] 연말 연시 해외여행객이 증가하면서 우리나라 국민의 개인정보가 해외에서 유출되고 있는 것으로 나타났다. 로그프레소의 ‘2월 사이버 위협 인텔리전스(CTI) 월간 리포트’에 따르면, 1월 한 달간 크리덴셜 유출 악성코드 분석해 국가별로 분류한 결과, 전 세계적으로 남미와 동남아시아에서 크리덴셜 유출이 늘어난 것으로 나타났다. 전체 크리덴셜 유출의 76%는 국내에서 발생한 것이었다.

우리나라 교민이 많이 거주하는 북미 지역 외에 필리핀, 태국, 베트남 등 동남아 국가들이 뒤를 이었다. 이는 엔데믹으로 인해 동남아시아 여행이 증가하면서, 동남아시아 현지에서 크리덴셜 유출 사례가 다수 발생한 것으로 보인다. 보고서에서는 해외 여행 시 무료 와이파이 이용을 주의하고 가급적 현지 유심 및 테더링 서비스를 이용하여 이러한 피해를 예방해야 한다고 당부했다.

탈북민 사찰 진행하는 킴수키 공격 분석

이 보고서에서 로그프레소는 북한 배후 해킹 그룹 ‘킴수키(Kimsuky)’의 공격 형태도 집중 분석했다. 이들은 제로데이 취약점, 워터링홀, 스피어피싱 등을 이용한 타깃 맞춤형 공격을 전개한다.

이들은 수신인이 호기심을 가질만한 내용이나 업무 관련 내용을 전송해 답변을 유도하고, 답변을 보낸 수신자에게 악성코드를 첨부한 메일을 보내 감염시키는 방식을 사용한다. 실제 공격에 사용된 메일의 경우, ‘사례비 지급의뢰서’라는 문서를 첨부한 메일을 보냈는데, 문서 파일 자체는 정상이지만, 백그라운드에서 악성 행위를 수행해 시스템을 장악한다.

이들은 한국의 대북, 국방, 안보 관련 종사자와 전문가를 대상으로 공격을 진행하며, 탈북민 사찰도 진행한다. 탈북민 중에서는 북한에서 높은 지위에 있었던 사람과 한국에서 대북 업무를 담당하는 사람도 있어 이들이 주요 사찰 대상이 된다.

이들은 타깃의 메일 계정을 탈취해 메일을 염탐하고, 업무 메일을 주고받는 사람들이 정보를 수집한다. 언론사, PD, 작가를 사칭해 자문을 구하거나 인터뷰를 요청하는 내용으로도 접근하며, 첫 번째 메일에서는 정상 문서를 보내 의심을 피하고 두번째 이후 메일에 은밀하게 악성코드를 삽입하는 형식을 취한다.

장상근 로그프레소 연구소장은 “악성코드 분석 도중에도 김수키 등 공격자 서버는 빠르게 폐기돼 사라진다”며 “실시간으로 침해 지표를 제공하는 CTI 서비스를 활용해 심각한 악성코드 감염과 침해를 효과적으로 탐지해야 할 것”이라고 전했다.

안랩 모바일 백신 위장 악성 앱 발견

이 보고서에서는 ‘안랩 V3 모바일 시큐리티’로 위장한 악성앱도 분석했다. 실제 앱과 아이콘 및 이름이 유사해 구분하기 어려운 악성앱은 과도한 권한을 요구하며, 사용자의 각종 정보를 탈취하고 외부 서버로 유출한다.

이 보고서는 로그프레소의 2억건 이상, 780억건 이상 위협 인텔리전스 정보를 바탕으로, 실시간 수집하는 보안위협 정보를 분석한 것이다. 매월 발간되는 이 보고서는 한글과 영문으로 발간하며, 홈페이지에서 다운로드 받을 수 있다.

김선애 기자 다른기사 보기