북한 연계 해킹 조직이 VOA 등의 이름을 딴 인터넷 도메인 주소를 개설했다가 미 법원에 적발됐습니다. 정부 관계자 등의 정보를 탈취하려 했던 것으로 추정됩니다. 함지하 기자가 보도합니다.
북한 연계 사이버 범죄 조직 ‘탈륨(Thallium)’이 언론사 이름을 딴 인터넷 도메인 주소를 개설한 사실이 미 법원 문건을 통해 확인됐습니다.
미국 버지니아 동부 연방법원에 지난 9일 제출된 보고서에 따르면 북한 연계 해커인 ‘탈륨’ 혹은 ‘에메랄드 슬릿’의 활동을 추적하는 ‘법원 보고관(Court Monitor)’은 5월 10일부터 최근 사이 어느 한 시점, 북한 해커가 3개의 인터넷 도메인 주소를 새롭게 개설한 사실을 확인했습니다.
이들 도메인은 미국 ‘VOA’ 방송의 웹사이트 주소와 유사한 ‘VOANEWS닷ME’와 일본 ‘교도통신’을 사칭한 것으로 보이는 ‘KYODONEWS닷US’ 그리고 중국의 온라인 쇼핑몰 업체의 이름을 딴 ‘TEMUCO닷XYZ’ 등 3개입니다.
앞서 미국의 마이크로소프트는 2019년 12월 자사를 사칭한 웹사이트를 개설해 ‘민감한 정보’를 탈취한 혐의로 북한 연계 해킹 그룹 ‘탈륨’에서 활동하는 익명의 인물 2명을 상대로 민사 소송을 제기해 승소했습니다.
당시 소송은 일반적인 민사 소송과 달리 이들의 활동을 중단시킬 수 있는 ‘영구금지명령’을 받기 위한 것으로, 이에 따라 재판부는 탈륨의 도메인뿐 아니라 이후 드러나게 될 새로운 도메인에 대해서도 금지 명령을 내릴 수 있도록 했습니다.
또한 법원이 임명한 ‘법원 보고관’이 매 120일마다 탈륨의 행위를 확인해 이를 재판부에 보고하도록 했습니다.
이번에 공개된 보고서는 당시 판결 이후 8번째로 나온 것입니다.
법원 보고관은 이번 문건에서 “지난 5월 10일 법원 보고관 보고서 7번 문건을 제출한 이후 시점 피고는 이들 인터넷 도메인 주소를 등록하거나 사용했다”고 밝혔습니다.
이어 “이들 도메인은 피고의 통제에서 벗어나도록 하는 ‘금지 명령’의 대상”이라며 이들 3개 도메인에 조치를 취한 사실을 확인했습니다.
최근 마이크로소프트는 전 세계 해커 집단에 대한 이름 명명 체계를 변경했습니다.
이에 따라 북한 연계 해커에는 진눈깨비를 뜻하는 ‘슬릿(Sleet)’이라는 이름이 공통으로 붙었습니다. ‘탈륨’은 ‘에메랄드’가 추가된 ‘에메랄드 슬릿’으로 불리고 있습니다.
따라서 이번 법원 보고관의 문건에는 기존 이름과 별도로 ‘에메랄드 슬릿’이라는 새 이름이 함께 명시됐습니다.
“북한 연계 해커 ‘에메랄드 슬릿’ 여전히 활동 중”
법원 보고관은 에메랄드 슬릿이 구체적으로 언제, 어떤 방식으로 도메인 3개를 개설했는지는 밝히지 않았습니다. 또 어떻게 이들 3개의 도메인과 에메랄드 슬릿의 연관성을 확인했는지도 공개하지 않았습니다.
다만 에메랄드 슬릿이 여전히 활동 중인 사실이 이번 보고서를 통해 공식 확인됐습니다.
과거 탈륨 즉 에메랄드 슬릿은 마이크로소프트가 운영하는 서비스나 유엔기구의 명칭과 유사한 이름으로 웹사이트를 만들어 정부 관계자와 대학, 싱크탱크, 인권 단체 직원 등을 속였습니다.
이를테면 마이크로소프트의 ‘비밀번호’ 재설정 페이지와 유사한 웹사이트를 개설해 이들의 아이디와 비밀번호 등을 알아내고, 이후 이들의 계정에서 중요한 자료를 탈취하는 식이었습니다.
또 유사 도메인을 이용해 이메일 주소를 만들어 해당 기관의 관계자를 사칭하기도 했습니다.
실제로 일부 미 싱크탱크 관계자는 VOA 기자를 사칭한 해커가 보낸 이메일을 받았다고 밝힌 바 있습니다.
따라서 에메랄드 슬릿이 이번에 ‘VOANEWS’가 사용된 도메인을 만든 것도 이런 이유 때문일 것으로 추정됩니다. 현재 VOA 기자들은 모두 ‘VOANEWS.com’을 이메일 주소로 사용하고 있습니다.
“북한 연계 해커, 해당 도메인 사칭 공격 정황”
마이클 반하트 맨디언트 수석분석가는 17일 VOA와의 전화통화에서 북한 연계 해커가 도메인에 대한 ‘스푸핑’ 즉 사칭 공격을 하려던 상황으로 보인다고 말했습니다.
[녹취: 반하트 수석분석가] “What we would see in this situation is probably spoofing domains. So, they would go on to the VOA websites, they'd look for targets of interest, certain reporters, certain journalists… What they're going to want to do is that they're going to want to pretend to be that reporter and then send out emails to potential victims.”
이어 “VOA 웹사이트에서 특정 기자, 특정 언론인을 찾아 그 기자인 척 잠재적인 피해자에게 이메일을 보내려 했을 것”이라고 덧붙였습니다.
그러면서 북한 해커들이 이런 방식으로 피해자가 특정 인터넷 링크를 누르도록 만들어 멀웨어, 즉 악성 소프트웨어로 컴퓨터를 감염시키고, 결국 원하는 정보를 탈취한다고 설명했습니다.
미국 국토안보부 산하 사이버 보안 및 기반시설 안보국(CISA)과 연방수사국(FBI), 캐나다∙영국∙일본∙핀란드∙에스토니아 각국 사이버 보안 센터와 경찰청 등은 지난 5월 북한 등의 사이버 공격으로부터 시민사회단체와 개인을 보호하기 위한 합동 사이버 보안 지침을 발표했습니다.
또 같은 달 국무부와 FBI, 국가안보국(NSA)은 북한 해커조직인 ‘김수키’가 언론인, 학자, 동아시아 전문가 등을 사칭한 이메일을 보내 해킹을 시도하고 있다며 공동으로 사이버 보안 주의보를 발령했었습니다.
북한의 해킹 수법이 계속 진화한 데 따른 조치였습니다.
주의보는 김수키가 적어도 2012년부터 정찰총국을 지원하기 위해 광범위한 사이버 작전을 수행해 왔다고 지적했습니다.
또한 김수키의 주요 임무는 정책 분석가와 기타 전문가들로부터 훔친 데이터와 귀중한 지정학적 통찰력이 담긴 정보를 북한 정권에 제공하는 것이라고 밝혔었습니다.
그러나 북한은 그동안 사이버 공격 사실을 부인하며 이 같은 지적에 반발해 왔습니다.
북한 외무성은 지난 2022년 2월 7일 홈페이지에 올린 글에서 “우리는 있지도 않은 우리의 사이버공격, 가상화폐 절취설을 내돌리는 미국의 비열한 행위를 우리 국가의 영상 훼손으로, 주권에 대한 심각한 위협과 도전으로 보고 절대로 좌시하지 않을 것”이라고 주장했습니다.
VOA 뉴스 함지하입니다.
Forum