미국과 캐나다, 일본, 영국 등이 시민사회단체를 겨냥한 북한, 중국 등의 해킹 공격에 대처하는 합동 사이버 보안 지침을 발표했습니다. '김수키'로 널리 알려진 북한 해킹 조직 '벨벳 천리마'가 이 같은 해킹의 주요 행위자로 지목됐습니다. 안준호 기자가 보도합니다.
Your browser doesn’t support HTML5
미국 국토안보부 산하 사이버 보안 및 기반시설 안보국(CISA)과 연방수사국(FBI), 캐나다∙영국∙일본∙핀란드∙에스토니아 각국 사이버 보안 센터와 경찰청 등이 14일 북한 등의 사이버 공격으로부터 시민사회단체와 개인을 보호하기 위한 합동 사이버 보안 지침을 발표했습니다.
지침은 비정부기구(NGO)나 싱크탱크, 언론인, 인권 단체 등 시민사회단체를 사이버 공격에 노출될 위험이 높은 고위험군으로 분류했습니다.
이런 조직과 조직원들은 종종 민주적 가치와 이익을 훼손하려는 국가 후원 사이버 위협 행위자들의 표적이 된다는 것입니다.
또 국가의 후원을 받는 해커들은 조직이나 개인의 디바이스와 네트워크를 손상시켜 시민사회단체와 개인을 협박하거나 강요하는 등 피해를 입힌다고 지적했습니다.
업계에 따르면 이런 표적 공격은 주로 러시아, 중국, 이란, 북한 정부의 후원을 받는 해커에 의해 이뤄진다고 지침은 설명했습니다.
또 해커들은 광범위한 사전 조사를 통해 잠재적 피해자에 대해 알아보고 정보를 수집하며 구글 등 각종 웹사이트 로그인 정보 등을 확보한다고 지적했습니다.
아울러 해커들은 표적이 된 조직의 네트워크나 이메일 등 개인 계정이나 개인의 디바이스를 표적으로 삼으며, 주로 디바이스에서 데이터를 수집하는 악성 소프트웨어인 스파이웨어 애플리케이션을 사용한다고 지침은 설명했습니다.
[지침] “According to industry reporting, state-sponsored targeting of high-risk communities predominantly emanates from the governments of Russia, China, Iran, and North Korea. Actors typically perform extensive pre-operational research to learn about potential victims, gather information to support social engineering , or obtain login credentials.”
특히 이 같은 시민사회단체를 표적으로 삼는 것으로 알려진 해킹 조직으로 중국∙러시아∙이란 조직과 함께 북한의 ‘벨벳 천리마(Velvet Chollima)’를 꼽으면서 사이버 스파이 활동을 하는 북한 연계 그룹이라고 설명했습니다.
이어 “벨벳 천리마는 주로 한반도 문제를 보도하는 언론인과 NGO, 싱크탱크, 학술 기관에서 동아시아 정책을 집중적으로 연구하는 연구원을 표적으로 삼는다”고 밝히고, ‘김수키’ ‘탈륨’ ‘블랙 밴시’ ‘에메랄드 스트리트’ 등 다른 이름으로 불리고 있다고 지적했습니다.
지침에 따르면, 벨벳 천리마 해커들은 인터뷰를 요청하는 언론인으로 위장하거나 설문조사 참여를 권유하는 학자를 사칭했습니다.
이들은 일련의 초기 이메일을 통해 표적이 된 대상과 신뢰를 쌓은 뒤 후속 이메일에 거짓 링크나 첨부 파일을 통해 악성 요소를 포함시켰습니다.
특히 이런 링크에는 벨벳 천리마가 피해자의 개인 컴퓨터에 무단으로 접속해 피해자의 통신을 쉽게 감시할 수 있는 악성 소프트웨어가 숨겨져 있는 경우가 많다고 지침은 설명했습니다.
지침은 “시민사회단체는 (사이버 공격에 대한) 방어 능력이 낮은 경우가 많다”고 지적했습니다.
그러면서 이런 사이버 공격을 피하려면 사용자 디바이스와 IT 인프라를 최신 상태로 유지하고, 피싱 방지 다단계 인증을 구현하며, 계정을 검토해 사용하지 않는 불필요한 계정을 비활성화하는 등의 조치를 취하라고 권고했습니다.
또 시민사회단체에 소속된 개인의 경우엔 강력한 비밀번호를 사용하고 다단계 인증을 구현하며, 공개적으로 사용할 수 있는 정보의 노출을 최소화하라고 권고했습니다.
아울러 연락처를 확인하고 소셜 엔지니어링에 유의하라고 제언했습니다.
소셜 엔지니어링은 사람의 실수를 악용해 개인정보나 접속 권한 등을 빼내는 해킹 기법을 뜻합니다.
앞서 국무부와 FBI, 국가안보국(NSA)은 지난 2일 공동으로 북한 해커조직인 ‘김수키’가 언론인, 학자, 동아시아 전문가 등을 사칭한 이메일을 보내 해킹을 시도하고 있다며 사이버 보안 주의보를 발령했었습니다.
국무부는 김수키가 미 정부 당국자나 싱크탱크 관계자, 언론인 등 특정인을 겨냥한 스피어피싱을 통해 지정학적 사건이나 적국의 외교 정책 전략 등 북한의 이익에 영향을 미치는 모든 관련 정보를 수집한다고 설명했습니다.
미국 재무부 해외자산통제실(OFAC)은 지난해 12월 김수키를 제재 대상으로 지정했습니다.
해외자산통제실은 김수키가 유엔과 미국의 제재 대상인 북한 정찰총국 산하기관으로, 주로 스피어피싱을 사용해 유럽과 일본, 러시아, 한국, 미국 등의 정부와 연구기관, 학술기관, 언론 종사자 등을 표적으로 삼았다고 밝힌 바 있습니다.
주의보는 김수키가 적어도 2012년부터 정찰총국을 지원하기 위해 광범위한 사이버 작전을 수행해 왔다고 지적했습니다.
그러면서 김수키의 주요 임무는 정책 분석가 및 기타 전문가들로부터 훔친 데이터와 귀중한 지정학적 통찰력이 담긴 정보를 북한 정권에 제공하는 것이라고 밝혔었습니다.
VOA 뉴스 안준호입니다.