“북 해커, 자금보다 정보 탈취 위해 한미일 공격”

워싱턴-이경하 rheek@rfa.org
2020-10-12
이메일
댓글
Share
인쇄
북한 추정 해킹 조직 ‘탈륨’이 ‘북한을 둘러싼 대북재제와 북한 진출 법적 환경’이라는 주제의 학술회의가 오는 27일 개최된다는 소식으로 위장한 워드 문서파일 화면.
북한 추정 해킹 조직 ‘탈륨’이 ‘북한을 둘러싼 대북재제와 북한 진출 법적 환경’이라는 주제의 학술회의가 오는 27일 개최된다는 소식으로 위장한 워드 문서파일 화면.
/이스트시큐리티

앵커: 북한 정찰총국과 연계된 해킹조직 ‘김수키’가 다른 국가들과 달리 한국과 미국, 일본을 대상으로 자금보다는 정보를 탈취하기 위한 사이버 공격을 집중하고 있다는 분석이 나왔습니다. 이경하 기자가 보도합니다.

다국적 경영컨설팅, 즉 자문 업체인 ‘프라이스워터하우스쿠퍼스’(PwC)가 최근 북한의 해킹 조직으로 알려진 김수키의 간첩활동에 대한 보고서(How Kimsuky’s tradecraft betrays its complementary campaigns and mission)를 공개했습니다.

‘김수키’는 지난 2014년 한국 수사 당국이 한국의 전력, 발전 분야의 공기업인 한국수력원자력을 해킹한 조직으로 지목한 바 있습니다.

보고서는 ‘김수키’가 지난 2018년부터 올해 8월까지 다른 국가들과는 달리 주로 한국, 미국, 그리고 일본을 대상으로 ‘첩보활동’(espionage campaigns)을 위한 사이버 공격에 집중했다고 지적했습니다.

특히 보고서는 ‘김수키’가 한국, 일본, 미국을 대상으로 주로 국방과 대외정책, 제재, 고고도미사일방어체계(THAAD) 문제에 대한 정보를 탈취하기 위해 ‘스피어 피싱’(Spear-Phishing) 사이버 공격을 현재까지도 진행하고 있다고 지적했습니다.

‘스피어 피싱’이란 정상적인 문서처럼 보이는 악성 첨부파일을 담은 전자우편을 받은 공격 대상이 의심없이 첨부파일을 열도록 특정 표적을 노린 맞춤형 사이버 공격을 말합니다.

보고서는 ‘김수키’가 한국의 민간 보안업체인 안랩, 알약, 그리고 한국 인터넷 기업인 다음(Daum), 네이버, 카카오와 유엔 인권최고대표사무소(OHCHR) 등의 전자우편 계정과 유사한 계정을 만들어 공격을 감행하고 있다고 지적했습니다.

아울러 보고서는 ‘김수키’가 한국, 미국, 일본과 달리 유럽과 아프리카, 남미, 그리고 중국을 상대로 ‘신분도용’(Credential theft campaigns)과 관련된 사이버 범죄를 벌이고 있다고 지적했습니다.

그러면서 보고서는 ‘김수키’는 동남아시아 국가를 대상으로 주로 ‘금융 관련 기관’(Financial services targeting)을 대상으로 한 사이버 범죄에 특화되고 있다고 지적했습니다.

이와 관련, 미국 민주주의수호재단(FDD)의 사이버 안보 전문가인 매튜 하 연구원은 12일 자유아시아방송(RFA)에 북한이 노동당 창건 75주년 기념 열병식에서 신형 대륙간탄도미사일(ICBM)을 공개하는 등 ‘보이는 위협’을 과시했지만, 북한의 사이버 공격 등 ‘보이지 않는 위협’에 대해서도 한국과 미국이 방어하고 저지할 준비를 해야 된다고 말했습니다.

하 연구원: 북한의 사이버 능력이 여전히 미국, 러시아, 중국 등 사이버 초강대국에는 크게 미치지는 못합니다. 하지만 북한의 능력을 과소평가 해서는 안 됩니다.

특히 하 연구원은 북한의 악의적인 사이버 활동을 저지하기 위해서는 미국과 한국이 북한 정권과 연계된 사이버 공격 조직에 제재를 가하는 방법을 제고해야 된다고 강조했습니다.

이런 가운데, 한국의 민간보안업체인 이스트시큐리티(ESTsecurity)는 최근 추석 연휴 전후로 대북 관련 단체장을 겨냥한 ‘지능형지속위협’(APT) 공격이 동시다발적으로 진행되고 있다고 밝혔습니다.

12일 이스트시큐리티에 따르면 북한 추정 해킹 조직 ‘탈륨’이 ‘북한을 둘러싼 대북재제와 북한 진출 법적 환경’이라는 주제의 학술회의가 오는 27일 개최된다는 소식으로 위장한 워드 문서파일로 스피어 피싱 공격을 감행했습니다. 

‘탈륨’은 지난해 12월 미국의 다국적 기업인 마이크로소프트(MS)가 미국 버지니아주 연방법원에 정식으로 고소장을 제출하며 국제사회에 알려진 해킹 조직으로 북한 정권과 관련돼 있는 것으로 추정되고 있습니다.

이와 관련, 이스트시큐리티(ESTsecurity) 시큐리티대응센터(ESRC) 문종현 이사는 자유아시아방송(RFA)에12일 “한국의 정부 기관을 사칭하는 등 갈수록 과감하고 노골적인 수법으로 다양한 사이버 위협 전술이 전개되고 있다”고 밝혔습니다.

그러면서 북한과 연계된 것으로 알려진 ‘탈륨’의 사이버 공격 수위는 갈수록 증대되고 있어, 유사한 위협에 노출되지 않도록 민간과 정부 측의 각별한 주의와 관심이 요구된다고 지적했습니다.

원본 사이트 보기