북한 해커 조직이 변종 악성코드를 이용해 북한 관련 단체 관계자들에 대한 해킹 위협을 지속하고 있다는 분석이 나왔습니다. 추후 더욱 정교한 추가 해킹도 가능하다는 지적입니다. 박형주 기자가 보도합니다.
북한 해커 조직 '김수키'가 북한 관련 인권단체 등을 대상으로 정보를 탈취하는 '지능형지속위협(APT)' 활동을 계속 벌이고 있다고 사이버 위협 분석 업체 '센티넬 랩스'가 23일 자체 보고서를 통해 밝혔습니다.
지능형지속위협(Advanced Persistent Threat)은 해커가 특정 표적을 선정해 다양한 침투 방식을 시도해 본 뒤 해당 표적에 가장 적합한 공격 방법을 선택해 해킹을 가하는 형태를 말합니다.
보고서에 따르면 '김수키'는 인권 단체나 탈북민 후원 조직 등 북한 관련 정보를 주로 제공하는 이들을 표적으로 삼았습니다.
‘김수키’는 표적을 선정한 뒤 악성코드 멀웨어의 변종인 '랜던쿼리(RandomQuery)'를 배포하기 위해 특수하게 제작된 피싱 이메일을 표적에게 보냅니다.
그리고 표적이 이메일에 첨부된 파일을 내려 받아 악성코드가 배포되면 표적의 파일이나 정보를 해킹할 수 있을 뿐 아니라 추후 발전된 정밀 공격이 가능하게 된다고 보고서는 설명했습니다.
보고서는 해커가 '이도건'이라는 이름으로 보낸 피싱 이메일도 소개했습니다.
해당 이메일에는 북한 전문매체 '데일리NK' 대표가 '북한인권단체 활동의 어려움과 활성화 방안'을 주제로 작성한 것이라면서 해당 문서에 대한 검토를 부탁한다는 내용이 담겼습니다.
또 "자료보안을 특별히 부탁한다"라는 말과 함께 해당 문서에 접근하기 위해 필요한 비밀번호까지 안내하고 있습니다.
보고서는 '김수키'가 북한의 지능형지속위협(APT) 그룹으로 2012년부터 활동을 시작해 전 세계 여러 표적을 대상으로 피싱이나 소셜 엔지니어링을 통해 민감한 정보에 무단으로 접근하면서 북한 정부 이익에 부합하는 활동을 한다고 지적했습니다.
그동안 김수키의 배후로 추청되는 ‘지능형지속위협’ 사례가 관측된 것은 이번이 처음이 아닙니다.
앞서 한국의 보안업체 '안랩'은 지난 19일 '김수키'가 특정 국책 연구 기관의 웹메일 사이트와 동일한 페이지를 제작했다고 밝힌 바 있습니다.
그러면서 사용자가 위장된 웹메일 사이트에서 로그인 아이디와 비밀번호를 입력하면 계정 정보는 해커에게 전송되는 등 해킹 공격이 '목표 맞춤형'으로 정교하게 진화하고 있다고 지적했습니다.
‘김수키’는 지난 2014년 한국의 전력, 발전 분야의 공기업인 한국수력원자력을 공격한 것으로 지목되기도 했습니다.
VOA 뉴스 박형주입니다.
