미국 국무부는 북한 연계 해킹 조직이 VOA의 이름을 딴 인터넷 도메인 주소를 개설한 데 대해 언론인을 사칭해 정보를 탈취하려는 행동이라고 지적했습니다. 각국 정부와 민간 기관의 공동 대응의 중요성도 강조했습니다. 함지하 기자가 보도합니다.
국무부는 18일 북한이 VOA를 위장한 인터넷 도메인 주소를 개설한 것과 관련해 “북한은 전략적 첩보와 정보를 얻기 위해 악의적인 사이버 활동을 벌이고 있다”고 밝혔습니다.
[국무부 대변인] “The DPRK engages in malicious cyber activity to gain strategic intelligence and information. These North Korean cyber actors often use social engineering techniques to conduct spear phishing campaigns while posing as real journalists, academics, or other individuals with credible links to DPRK policy circles.”
국무부 대변인은 이날 VOA의 관련 질의에 이같이 답하면서 “북한의 사이버 행위자들은 종종 사회 공학적 기술을 사용해 ‘스피어 피싱 캠페인’을 수행하면서 실제 언론인, 학자 혹은 북한 정책계와 연결된 신뢰할 수 있는 개인으로 위장한다”고 말했습니다.
각국과 긴밀히 협력해 대응
국무부 대변인은 “미국은 같은 생각을 가진 국가들과 긴밀히 협력해 사이버 공간에서 업무에 지장을 초래하거나 파괴적이거나 불안정을 초래하는 행동을 부각하고 규탄한다”며 “정부, 네트워크 보안 담당자, 대중이 경계를 늦추지 않고 북한의 사이버 위협을 완화하기 위해 함께 노력하는 것이 중요하다”고 강조했습니다.
[국무부 대변인] “The United States works closely with likeminded countries to highlight and condemn disruptive, destructive, or otherwise destabilizing behavior in cyberspace. It is vital for governments, network defenders, and the public to stay vigilant and work together to mitigate the DPRK cyber threat.”
그러면서 더 자세한 내용은 지난 3일 미국 연방수사국(FBI)이 발표한 북한 사이버 관련 경고문을 참고해달라고 말했습니다.
FBI는 당시 경고문에서 북한이 탈중앙화 금융, 암호화폐와 이와 유사한 산업 종사자들을 노리고 악성 소프트웨어를 배포하고 암호화폐를 훔치려고 하고 있다고 밝혔습니다.
특히 이들 해커들은 지난 몇 달간 암호화폐 상장지수펀드(ETF)나 기타 암호화폐 관련 기업을 표적으로 삼고, 해당 기업 직원들에게 접근해 새로운 일자리나 기업 투자를 제안하는 등의 방식으로 접근했다며 관련 업계에 주의를 당부했습니다.
앞서 VOA는 미국 버지니아 동부 연방법원에 최근 제출된 보고서를 인용해 북한 연계 해커인 ‘탈륨’ 혹은 ‘에메랄드 슬릿’이 ‘VOA’ 방송의 웹사이트 주소와 유사한 ‘VOANEWS닷ME’ 등 3개의 인터넷 도메인 주소를 새롭게 개설했다고 보도했습니다.
세계 최대 인터넷 검색 기업인 구글 산하 사이버 보안업체 맨디언트의 마이클 반하트 수석분석가는 17일 VOA와의 전화통화에서 북한 연계 해커가 도메인에 대한 ‘스푸핑’ 즉 사칭 공격을 하려던 상황으로 보인다고 말했습니다.
[녹취: 반하트 수석분석가] “What we would see in this situation is probably spoofing domains. So, they would go on to the VOA websites, they'd look for targets of interest, certain reporters, certain journalists… What they're going to want to do is that they're going to want to pretend to be that reporter and then send out emails to potential victims.”
이어 “VOA 웹사이트에서 특정 기자, 특정 언론인을 찾아 그 기자인 척 잠재적인 피해자에게 이메일을 보내려 했을 것”이라고 덧붙였습니다.
그러면서 북한 해커들이 이런 방식으로 피해자가 특정 인터넷 링크를 누르도록 만들어 멀웨어, 즉 악성 소프트웨어로 컴퓨터를 감염시키고, 결국 원하는 정보를 탈취한다고 설명했습니다.
북한 연계 해커들은 과거에도 VOA 기자를 사칭해 싱크탱크 관계자 등에게 이메일을 보냈는데, 이번에도 같은 행위를 목적으로 이 같은 허위 도메인을 개설한 것으로 추정됩니다.
VOA 뉴스 함지하입니다.
Forum