북한과 연계된 해킹 조직이 VOA 등의 이름을 딴 인터넷 도메인 주소를 개설했다가 미국 법원에 의해 적발됐습니다. 이를 통해 정부 관계자 등의 정보를 탈취하려 했던 것으로 추정됩니다. 조상진 기자가 보도합니다. (영상편집: 김정규)
북한 연계 사이버 범죄 조직 탈륨이 언론사 이름을 딴 인터넷 도메인 주소를 개설한 사실이 미국 법원 문건을 통해 확인됐습니다.
미국 버지니아 동부 연방법원에 지난 9일 제출된 보고서에 따르면 탈륨 혹은 에메랄드 슬릿으로 불리는 북한 연계 해커 조직은 지난 5월 10일부터 최근 사이 어느 한 시점에, 3개의 인터넷 도메인 주소를 새롭게 개설했습니다.
이들 도메인은 미국 VOA 방송의 웹사이트 주소와 유사한 VOANEWS.ME와 일본 교도통신을 사칭한 것으로 보이는‘KYODONEWS.US’, 중국의 온라인 쇼핑몰 업체의 이름을 딴 ‘TEMUCO닷XYZ’ 등 3개입니다.
앞서 미국의 마이크로소프트는 2019년 12월 자사를 사칭한 웹사이트를 개설해 민감한 정보를 탈취한 혐의로 북한 연계 해킹 조직 탈륨에서 활동하는 익명의 인물 2명을 상대로 민사 소송을 제기해 승소했습니다.
당시 소송은 일반적 민사 소송과 달리 이들의 활동을 중단시킬 수 있는 영구 금지명령을 받기 위한 것으로 이에 따라 재판부는 탈륨의 도메인뿐 아니라 이후 드러나게 될 새 도메인에 대해서도 금지 명령을 내릴 수 있도록 했습니다.
또한 법원이 임명한 법원 보고관이 매 120일마다 탈륨의 행위를 확인해 재판부에 보고하도록 했는데, 이번에 공개된 보고서는 당시 판결 이후 8번째로 나온 것입니다.
탈륨의 활동을 계속 추적해 온 법원 보고관은 이번 문건에서 지난 5월 10일 법원 보고관 보고서 7번 문건을 제출한 이후 시점에 피고는 이들 인터넷 도메인 주소를 등록하거나 사용했다고 밝히고, 이들 도메인은 피고의 통제에서 벗어나도록 하는 금지 명령의 대상이라고 지적했습니다.
법원 보고관에 의해 탈륨이 여전히 활동 중인 사실이 공식 확인된 가운데 탈륨은 과거 마이크로소프트가 운영하는 서비스나 유엔 기구의 명칭과 유사한 이름으로 웹사이트를 만들어 정부 관계자와 대학, 싱크탱크, 인권 단체 직원 등을 속이는 활동을 벌여와 주목됩니다.
이들은 마이크로소프트의 비밀번호 재설정 페이지와 유사한 웹사이트를 개설해 이들의 아이디와 비밀번호 등을 알아내고, 이후 이들의 계정에서 중요한 자료를 탈취해 왔으며, 실제로 일부 미국 싱크탱크 관계자는 VOA 기자를 사칭한 해커가 보낸 이메일을 받았다고 밝힌 바 있습니다.
이번에 탈륨이 VOA를 사칭한 도메인을 만든 것도 이런 이유일 것으로 추정됩니다.
마이클 반하트 / 맨디언트 수석분석가
“현재 상황에서 우리가 확인할 수 있는 것은 아마도 ‘스푸핑(사칭) 도메인’일 것입니다. 그들은 VOA 웹사이트에 들어가서 관심 대상과 특정 기자, 특정 언론인을 찾을 것입니다. 그들이 하고 싶은 것은 그 기자 행세를 한 다음 잠재적 피해자에게 이메일을 보내는 것입니다.”
반하트 수석분석가는 그러면서 북한 해커들이 이런 방식으로 피해자가 특정 인터넷 링크를 누르도록 만들어 멀웨어, 즉 악성 소프트웨어로 컴퓨터를 감염시키고, 원하는 정보를 탈취하려 할 것이라고 지적했습니다.
VOA 뉴스 조상진입니다.