북한 해커들이 대북 정책 전략이나 관련 정보를 수집하기 위해 미 정부 당국자나 전문가에게 발신자를 위장한 이메일을 발송하고 있어 주의해야 한다고 미국 정부가 경고했습니다. 해커가 일단 시스템에 침투하면 할 수 있는 일은 무궁무진하다며 각별한 주의를 당부했습니다. 안준호 기자가 보도합니다.
미국 국무부와 연방수사국(FBI), 국가안보국(NSA)은 2일 공동으로 북한 해커조직인 ‘김수키’가 언론인, 학자, 동아시아 전문가 등을 사칭한 이메일을 보내 해킹을 시도하고 있다고 사이버 보안 주의보를 발령했습니다.
국무부는 김수키가 미 정부 당국자나 싱크탱크 관계자, 언론인 등 특정인을 겨냥한 스피어피싱을 통해 지정학적 사건이나 적국의 외교 정책 전략 등 북한의 이익에 영향을 미치는 모든 관련 정보를 수집한다고 설명했습니다.
미국 재무부 해외자산통제실(OFAC)은 지난해 12월 김수키를 제재 대상으로 지정했습니다.
해외자산통제실은 김수키가 유엔과 미국의 제재 대상인 북한 정찰총국 산하기관으로, 주로 스피어피싱을 사용해 유럽과 일본, 러시아, 한국, 미국 등의 정부와 연구기관, 학술기관, 언론 종사자 등을 표적으로 삼았다고 밝힌 바 있습니다.
주의보는 김수키가 적어도 2012년부터 정찰총국을 지원하기 위해 광범위한 사이버 작전을 수행해 왔다고 지적했습니다.
이어 김수키의 주요 임무는 정책 분석가 및 기타 전문가들로부터 훔친 데이터와 귀중한 지정학적 통찰력이 담긴 정보를 북한 정권에 제공하는 것이라고 설명했습니다.
일단 정책 분석가 및 기타 전문가 공격에 성공하면 더 신뢰할 수 있고 효과적인 스피어피싱 이메일을 만들어 이를 더 민감하고 가치가 높은 표적에 활용할 수 있다고 덧붙였습니다.
이어 김수키 등 북한 정권이 운영하는 해킹 프로그램의 주요 목표는 미국과 한국, 기타 국가의 최신 정보에 지속적으로 접근해 김정은 정권의 안보와 안정에 정치∙군사∙경제적 위협이 감지되면 이를 방해하는 것이라고 평가했습니다.
[사이버 보안 주의보] “The authoring agencies of this advisory assess the principal goals of North Korea’s regime cyber program include maintaining consistent access to current intelligence about the United States, South Korea, and other countries of interest to impede any perceived political, military, or economic threat to the regime’s security and stability.”
그러면서 김수키가 이메일 인증 방식의 일종인 ‘DMARC(Domain-based Message Authentication, Reporting and Conformance∙도메인 기반 메시지 인증, 보고 및 준수)’가 제대로 설정되지 않은 경우 이를 이용해 발신자를 사칭한 이메일을 보낸다고 설명했습니다.
주의보에는 북한 해커들이 2023년 말에서 2024년 초 미 정부와 국제기구 관계자들에게 공신력 있는 싱크탱크가 주최하는 ‘미국의 대북정책 컨퍼런스’에 참여해 연설해 달라고 초청하는 이메일이 포함돼 있습니다.
이메일에는 수신자를 유혹하기 위해 참석을 위한 교통비와 숙박비뿐 아니라 500달러의 연설 비용도 지급하겠다는 내용도 담겼습니다.
또 다른 사례로는 지난 2023년 11월 북한 해커가 합법적인 언론인을 사칭해 대북 전문가의 의견을 구한다며 보낸 이메일을 들었습니다.
북한 해커는 이 이메일에서 정당한 언론사 명의의 계정이 일시적으로 차단될 예정이라면서 해킹한 가짜 개인 계정으로 답변을 보내달라고 요청했습니다.
국무부 고위 당국자는 이날 전화 브리핑에서 “(북한의) 이런 활동들은 주로 정보 수집에 초점을 맞추고 있으며 앞으로도 계속될 것”이라고 말했습니다.
이어 “북한이 왜 이렇게까지 하는지는 추측할 수 없지만 지난 4년 동안 외부 세계와 단절됐었고 외교적 관여를 거부해 왔다”면서 “북한은 보통 정부들이 정보를 얻고 다른 세계에서 일어나는 일을 이해하기 위해 사용하는 모든 일반적인 도구를 사용하지 않고 있다”고 말했습니다.
[국무부 고위 당국자] “These efforts are and continue to primarily be focused on information gathering.
You know I mean, I can't speculate as to why Pyeongyang is going to these lengths but I mean, you know, just the fact that they've really shut themselves off from the outside world for the past four years and I think, you know, and you know, they're refusing diplomatic engagement. They're not using all the normal tools that governments use to gain information and understand what's happening in the rest of the world.”
이 고위 당국자는 또 “이런 해킹 시도가 사람들로부터 정보를 빼내려는 것 이상으로 확장됐다는 것은 보지 못했지만 위협이 되는 것은 분명하다”고 말했습니다.
이런 종류의 스피어피싱 이메일은 악성 소프트웨어를 설치하려는 시도로 이어지기 때문이란 설명입니다.
이어 “일단 시스템에 침투하면 할 수 있는 일은 무궁무진하다”며 “사람들이 인식해야 할 위협”이라고 말했습니다.
[국무부 고위 당국자] “But it certainly is a threat. I would say that they would do this right because I think one of the things is that they, these sorts of spearfishing emails lead towards lead to attempts to get malware installed. And then you know, once they've compromised the system, there's a whole range of things they could do. So we haven't seen examples of them actually taking these steps but we think it's a real possibility and a real threat that people should be aware of.”
그러면서 “의심스러운 이메일을 받았을 때는 (침해 여부와 상관없이) 신고하면 공격 대상과 활동 수준 등을 폭넓게 파악할 수 있기 때문에 큰 도움이 된다”면서 “(사칭) 이메일의 표적이 됐다고 생각될 경우 www.ic3.gov에 신고하라”고 권고했습니다.
VOA 뉴스 안준호입니다.
Forum