북한 추정 해킹조직이 이른바 ‘스피어피싱’ 수법을 통한 사이버 공격을 재개한 정황이 포착됐습니다. 외교·안보분야 종사자나 탈북민을 겨냥한 공격을 가속화되고 있다는 지적입니다. 김시영 기자가 보도합니다.
북한 추정 해킹조직인 ‘금성121’이 3월 초부터 사이버 공격을 재개했다고, 한국 사이버보안 전문회사 ‘이스트시큐리티 대응 센터(ESRC, ESTSecurity Security Response Center)’가 밝혔습니다.
이 단체는 30일 발표한 보고서에서, 금성121이 한국 내 사이버 공간을 거점 삼아 주로 외교·안보분야 종사자나 대북관련 단체장 또는 탈북민을 겨냥한 공격을 가속화하고 있다고 지적했습니다.
그러면서 해킹 활동에는 ‘스피어피싱(Spear-phishing)’ 수법이 사용됐다고 설명했습니다.
스피어피싱이란 불특정 다수가 아니라 특정 개인과 기업, 기관 등을 겨냥하는 사이버 공격 수법을 말합니다.
보고서에 따르면, 금성121은 탈북민 관련 내용으로 위장된 이메일을 보내 피해자가 이메일에 첨부된 링크를 누르도록 유도했습니다.
이 과정을 거쳐 피해자는 탈북민 관련 정보 대신 악성 파일을 내려받게 된다고, 보고서는 설명했습니다.
이 악성파일이 작동하면 피해자들의 컴퓨터에 일종의 ‘뒷문(backdoor)’이 생겨, 해커들이 그 경로를 통해 정보 등을 빼낼 수 있다는 겁니다.
보고서는 악성 파일을 이메일에 직접 첨부했던 기존 방식과 달리 인터넷 주소를 첨부하는 방식을 택한 것이 이번 공격의 특징이라고 설명했습니다.
다만 해킹조직이 이같은 공격을 통해 찾고 있던 정보를 유출하는 데 성공했는지, 그리고 이들이 노린 금전적 이득이 무엇인지는 밝혀지지 않았다고 말했습니다.
대신 지난해 이 해킹조직이 탈북자 지원 단체 등을 대상으로 사이버 공격을 감행했던 점을 지적하면서, 당시에는 탈북자들을 위한 모금 어플리케이션을 가장한 악성 앱으로 탈북민과 북한 관련 단체들을 겨냥했었다고 설명했습니다.
또 전형적으로 이 조직이 한국의 통일과 외교, 국가안보 관련자들에게 초점을 맞추고 있다고 덧붙였습니다.
금성121은 지난해 4월 한국 통일부를 사칭해 대북단체 활동가와 일부 한국 취재진에게 사이버 공격을 감행한 바 있습니다.
매튜 하 민주주의수호재단 연구원은 1일 VOA와의 통화에서, 이번 해킹이 탈북민과 인권단체 관련자들을 표적으로 삼은 점을 들며 북한과의 연관성을 제기했습니다.
[녹취: 하 연구원]“They targeted those working with North Korean defectors and effectors in North Korean human rights groups, and that is a key indicator of compromise is the victim itself.
또 금성121 해커들이 활동한 IP 주소와 접속 지점 등이 북한 사이버 조직들과 유사하다는 점도 핵심적인 증거로 꼽았습니다.
[녹취: 하 연구원] “They were looking at the key indicators of compromise associated with the IP address and the access point that were associated with the North Korean cyber actors as well as the fact that these hackers were doing carrying out their operations during the times of North Korea time zone.”
하 연구원은 아울러 해커들이 작전을 수행했던 시간대가 북한 해커들이 통상 활동하는 시간대와 일치한다고 말했습니다.
VOA뉴스 김시영입니다.