북한 해커 조직이 미국의 북한 인권 단체를 가장한 피싱 사이트를 만들었다고 한국의 보안 업체가 분석했습니다. 대북 분야 종사자의 일상생활을 감시하고 개인정보 탈취를 목적으로 한 사이버 첩보전이라는 분석입니다. 안소영 기자가 보도합니다.
북한 해커조직 ‘APT37’이 미국에 있는 북한 인권 단체 ‘리버티 인 노스코리아 (LiNK·링크)’를 사칭해 북한 관련 분야 종사자들에게 이메일을 보낸 것으로 나타났다고 한국의 보안업체인 지니언스 시큐리티 센터가 밝혔습니다.
이 단체는 1일 관련 보고서를 공개하고 지난 7월 24일, 북한 연계 해킹그룹의 소행으로 분류된 새로운 공격 징후를 포착했다고 밝혔습니다.
그러면서 이번 위협은 한국과 외국에 있는 대북 전문가의 일상생활 감시와 개인 정보 탈취에 목적을 둔 사이버 첩보전의 일환으로 본다고 분석했습니다.
보고서는 해커 조직이 보낸 이메일 내용은 링크(LiNK)가 실제 운영하는 ‘체인지 메이커 활동 지원금 프로그램’ 참가자 모집 관련으로 자세한 사항은 홈페이지를 참고하라며 이용자들을 유인했다고 설명했습니다.
이어 이메일 하단 홈페이지 링크를 클릭하도록 해 연결된 피싱용 도메인에 정보를 입력하면 관련 정보를 탈취하는 방식이라고 덧붙였습니다.
그러면서 이들의 거점 서버 흐름을 추적한 결과, 기밀 정보 수집을 목적으로 하는 북한 해커 그룹 ‘APT37’의 인프라로 연결된 것을 확인했다고 밝혔습니다.
보고서는 “APT 37의 공격이 날이 갈수록 지능화, 고도화, 다양화하고 있다”며 “국가 배후 위협 행위자들이 거점 인프라 구축에 많은 자원과 비용을 투자하고 있어 악성 여부 판단 및 분석이 점차 어려워지는 추세”라며 각별한 주의를 당부했습니다.
또한 “외관상 보이는 URL 주소를 믿고 접근해 개인 정보를 입력하면 예기치 못한 위협 노출될 수 있다”며 “팝업 창이 브라우저 화면 밖으로 옮겨지지 않는다면 실제창이 아니라는 점을 유의하라”고 권고했습니다.
데이비드 맥스웰 아태전략센터 부대표는 1일 VOA와의 통화에서 자신도 이번 보고서가 지적한 동일한 공격을 받았다고 말했습니다.
그러면서 실제로 링크(LiNK)에 확인해 본 결과 피싱 이메일 것으로 드러났다며 북한의 사이버 범죄 대상은 이전의 국가기관이나 언론사 등에서 점차 확산하고 있다고 지적했습니다.
[녹취: 맥스웰 부대표] “This is troubling. And everyone needs to be vigilant. This is something we must practice good cyber, civil defense, cyber hygiene. And everyone must be aware that North Korea is conducting these activities, trying to penetrate networks to gather information and to be able to conduct all kinds of activities where they are stealing information.”
맥스웰 부대표는 모든 사람이 북한의 이 같은 공격에 방심해선 안 된다고 강조했습니다.
또한 모든 사람들이 북한이 정보 수집을 위해 네트워크에 침투하고 정보를 훔치는 모든 종류의 활동을 할 수 있다는 점을 인지해야 한다고 맥스웰 부대표는 말했습니다.
VOA 뉴스 안소영입니다.