북한과 관련된 것으로 의심된 해킹단체가 이른바 ‘스피어 피싱’ 수법을 통해 사이버 공격 활동을 재개한 정황이 또다시 포착됐습니다. 전문가들은 이들은 주로 탈북민에 관심 가진 이들을 공격 대상으로 삼았다고 밝혔습니다. 김시영 기자의 보도입니다. (영상취재: 김선명 / 영상편집: 조명수)
한국의 사이버보안 전문회사 ‘이스트시큐리티 대응 센터’는 최근 해킹단체 ‘금성121’이 대북 관련 단체장이나 탈북민 등을 겨냥한 사이버 공격을 했다고 밝혔습니다.
보고서에 따르면 금성 121은 불특정 다수가 아닌 특정 대상만을 공격하는 ‘작살 낚시’에 빗댄 ‘스피어피싱’ 방법을 썼습니다.
탈북민 관련 내용으로 위장된 이메일을 보내는 방법으로 피해자를 유혹했다는 것입니다.
이메일 첨부 내용이 개인정보 보호 차원에서 보이지 않는 것처럼 위장해, 피해자가 ‘콘텐츠 사용’을 허락하도록 유도하고 피해자는 자신도 모르게 악성 파일을 내려받는 방식입니다.
이 악성파일이 작동하면 피해자들의 컴퓨터에 백도어 즉 ‘뒷문’이 생겨 해커들이 그 경로를 통해 정보 등을 빼낼 수 있게 된다고 센터 측은 설명했습니다.
특히 이번 공격은 악성 파일을 이메일에 직접 첨부했던 기존 방식과 달리 인터넷 주소를 첨부하는 방식이 사용됐습니다.
공격자가 필요에 따라 클라우드 상의 악성 파일을 수정하거나 삭제할 수 있기 때문에 해킹 활동을 감추기가 쉽다는 것입니다.
이들의 목적은 금성121이 지난해 탈북자를 위한 모금 어플리케이션을 가장한 악성 앱으로 벌였던 사이버 공격과 관련 있는 것으로 지적했습니다.
그러면서 이전 사례로 볼 때 이번 금성121의 사이버 공격 동기는 재정적 이득과 감시 모두를 포함한 것으로 본다고 분석했습니다.
전문가들은 이번 사이버 공격의 대상과 공격에 사용한 IP주소, 접속 시간 등을 근거로 북한 소행이라고 분석했습니다.
매튜 하 / 민주주의수호재단 사이버안보 연구원
“그들은 탈북민 그리고 북한인권단체 관련자들을 목표로 했다는 점이 핵심 증거라고 할 수 있습니다. 접속했던 IP주소와 접속한 장소 그리고 활동한 시간대가 북한 시간대와 일치한다는 점도 이를 뒷받침합니다.”
보고서는 금성121이 해킹을 통해 그들이 원하는 정보 유출에 성공했는지, 이들이 노린 금전적 이득이 무엇인지는 밝혀지지 않았다고 설명했습니다.
북한 해킹조직으로 알려진 금성121은 지난해 4월에도 한국 통일부를 사칭해 대북단체 활동가와 일부 한국 취재진에게 사이버 공격을 감행한 바 있습니다.
VOA뉴스 김시영입니다.