구글, 북한 연계 해커에게 로그인 정보 탈취 시도당해

로그인·결제 시스템 겨냥한 공격 시도
구글, 공격 주체로 북한 연계 ‘UNC1069’ 지목
탈취한 인증정보로 추가 공격 가능성 우려

▲구글 로고가 보인다. (EPA연합뉴스)

구글은 북한과 연계된 해커 그룹이 개인 로그인 정보를 훔치기 위해 관련 소프트웨어를 공격했다고 밝혔다.

31일(현지시간) 테크크런치에 따르면 해커들은 애플리케이션(앱)과 웹 서비스를 연결하는 오픈소스 프로그램 ‘악시오스’의 관리자 계정을 탈취한 뒤 프로그램 업데이트에 악성 코드를 심었다.

악시오스는 웹과 모바일 서비스가 서버와 데이터를 주고받을 때 사용되는 대표적인 오픈소스 소프트웨어 중 하나다. 현재도 많은 프로그램 개발자가 로그인과 결제 기능에 악시오스를 활용한다.

최근 해커들은 전통적인 공격 대상이었던 대기업 외에 인기 있는 오픈 소스 프로젝트 개발자들을 표적으로 악성코드를 심는 것으로 주요 공격 대상이 옮겨가고 있다. 개발자 계정을 탈취하거나 어떤 방법으로든 오픈소스에 악성코드를 심는 것에 성공하면 이를 다운받은 수많은 이용자를 노릴 수 있게 되기 때문이다.

테크크런치는 보안 회사 스텝서큐리티 관계자의 말을 인용해 해커들이 악시오스 업데이트에 심은 악성코드는 약 3시간 만에 발견됐다.

테크크런치는 이번 공격의 목적이 시스템 내 이용자들의 인증정보와 자산을 탈취하는 것에 목적이 있었다고 보도했다. 또한, 이번 공격으로 실제 탈취된 인증 정보가 있다면 향후 대규모 가장자산 탈취나 기업을 대상으로 한 랜섬웨어 공격이 발생할 가능성이 커졌다고 경고했다.

구글은 이번 해킹을 주도한 것은 ‘UNC1069’로 불리는 북한 연계 해커 그룹으로 보인다고 밝혔다.

UNC1069는 주로 가상자산 탈취를 주목적으로 하는 해킹그룹으로 2018년부터 지금까지 활동을 이어오고 있다. 이번 해킹 시도 역시 가상자산 탈취를 위한 방법의 하나였을 것으로 보인다.

구글은 “이번 해커의 공격으로 피해를 입은 기업이 있다면 즉각적으로 시스템 복구를 시작하고 보안 체계를 점검해야 한다”고 강조했다.