북 추정 해커, ‘코로나 19 환자 접촉’ 이메일로 해킹

워싱턴-김소영 kimso@rfa.org
2020-04-06
이메일
댓글
Share
인쇄
북한의 사이버 해킹 일러스트레이션.
북한의 사이버 해킹 일러스트레이션.
RFA Graphic

앵커: 정부 기관으로부터 코로나 19, 즉 신형 코로나바이러스(비루스) 확진자와 접촉했다는 이메일을 받는다면 대부분 조바심에 당장 이메일을 열어볼 것입니다. 최근 이렇게 불안한 사람들의 심리를 이용해 악성코드를 퍼뜨리는 북한 추정 해커들의 이메일 피싱 공격이 기승을 부린다는 소식입니다. 김소영 기자가 보도합니다.

한국의 보안업체 ‘이슈메이커스랩’은 최근 온라인 사회관계망 서비스 트위터에 최근 북한 해커 소행으로 추정되는 이메일 피싱(Phishing)의 실제 사례들을 공개했습니다.

신형 코로나가 한창 확산되던 2월 이후 발견된 사례만 20건에 가깝습니다.

이들 이메일은 대부분 발신자가 정부 기관으로 신형 코로나와 관련된 내용을 담고 있으며, 악성코드를 퍼뜨리는 첨부문서를 포함하고 있습니다.

3월 30일자로 발송된 한국 인천광역시 감염병지원단 위장 이메일은 수신자가 신형 코로나 확진자와 접촉했다며, 그 동안의 이동 경로를 기입하는 문서가 첨부돼 있습니다.

최근 발견된 또 다른 이메일은 발신자가 평양 주재 루마니아 대사관으로 신형 코로나로 인한 북한 여행 경보와 대사관의 운영 상황 등에 대한 공지문으로 위장했습니다.

실제로 이들이 사용한 연락처와 담당자 정보가 루마니아 대사관 공식 사이트에 나온 것과 완전 일치하기 때문에 한눈에 이메일 피싱을 알아채기 어렵습니다.

3월20일자로 발송된 한 이메일은 유럽연합(EU) 회원국들의 공동 서한으로 신형 코로나 상황 속 북한 인권이 우려된다는 내용의 마이크로소프트 워드 문서가 첨부돼 있습니다.

이 밖에도 신형 코로나로 인한 북한 국경 봉쇄 상황과 유엔의 대북 인도주의 지원에 관한 첨부 문서를 담은 피싱 이메일도 발견됐습니다.

미국 민주주의수호재단(FDD)의 사이버 안보 전문가인 매튜 하 연구원은 6일 자유아시아방송(RFA)에 기존 금전 갈취 목적의 해킹 공격에만 집중하던 북한이 개인 정보 유출을 목적으로 하는 이메일 피싱 공격을 늘리는 추세라고 설명했습니다.

하 연구원은 특히 최근 몇년 간 북한의 ‘소셜 엔지니어링’ 수준이 크게 향상됐다고 강조했습니다.

새로운 정보∙기술 용어인 ‘소셜 엔지니어링’은 시스템에 침입할 때 해킹 기술을 사용하는 대신 사람의 심리를 이용해 시스템 접근 권한을 확보하는 기술을 말합니다.

앞서 사례에서 볼 수 있듯이 특정 개인이나 단체인 것처럼 속여 악성코드가 담긴 이메일을 발송해 상대가 이메일을 열면 해당 컴퓨터에 악성코드를 심는 것이 소셜 엔지니어링의 대표적인 방법입니다.

하 연구원: 북한은 특정 바이러스나 해킹 기술을 이용하는 데서 더 나아가 자신들을 다른 사람으로 착각하게 만드는 소셜 엔지니어링에 매우 크게 의존하고 있습니다. 이메일들이 완전 진짜같이 보이기 때문에 누구든 원하는 사람으로 위장할 수 있습니다.

하 연구원은 최근 북한 관련 연구원이나 언론인들에게 피싱 이메일을 보낸 것도 특정 대상에 대한 정보를 유출하려는 시도라고 분석했습니다.

한편 미국의 보안업체 레코디드 퓨처는 지난달 발표한 보고서에서 신형 코로나로 고립된 북한이 사이버 공격을 배로 늘릴 것이라며, 전 세계 곳곳에 현지 연결망을 두고 이메일 피싱과 같은 사이버 공격을 이어가고 있다고 지적했습니다.

원본 사이트 보기