미, 북 해킹조직 김수키 주의보 추가 발령
2024.05.02
앵커: 미국 정부가 새로운 방식을 통한 북한 해커 공격에 주의를 강화할 것을 권고하는 추가 주의보를 발표했습니다. 이에 따르면 북한 해커들은 단체나 기관의 공식 전자우편처럼 가장해 원하는 대상자에게 접근할 수 있습니다. 박재우 기자가 보도합니다.
미국 국무부와 국가안보국(NSA),연방수사국(FBI)은 2일 북한 해킹 조직 김수키의 사이버공격 시도를 알리기 위한 주의보를 공동으로 발표했습니다.
북한 해킹 조직 김수키는 북한군 정찰총국 산하로 외교ㆍ안보ㆍ국방 등 분야 개인ㆍ기관으로부터 첩보를 수집하는 조직으로 알려져 있습니다.
주의보는 최근 김수키가 전자우편 인증 규칙 체계인 디마크(DMARC, Domain-based Message Authentication, Reporting & Conformance)를 악용한 해킹 공격 사례가 늘어나고 있다고 명시했습니다.
이를 악용하면 회사, 단체의 공식 전자우편을 가장해 원하는 대상자에 접근할 수 있습니다.
다만, 가장할 뿐이지 실제 공식 전자우편에는 접근할 수는 없습니다. 이 때문에 북한 해커들은 다른 전자우편 주소로 답변을 유도하는 방식을 썼습니다.
이후 대상자로부터 신뢰를 얻게 되면 ‘스피어 피싱’을 감행하는 식입니다.
‘스피어피싱’은 해커가 지인이나 협력회사를 가장해 전자우편으로 접근한 뒤 문서 파일을 보내는 것으로, 이 파일을 클릭하면 비밀번호 등 개인정보가 빠져나가게 됩니다.
주의보는 실제 북한 해커들이 이를 사용한 해킹 공격 사례 2건을 공개했습니다.
지난해 11월 기자를 가장한 북한 해커는 대북전문가에게 북한의 핵·미사일 능력 강화와 관련해 서면 인터뷰를 요청했습니다.
그러면서 말미에 “제 공식 언론매체 전자우편은 곧 일시적으로 차단될 예정이다”라며 “그래서 당분간 제 개인 계정으로 메일을 받을 예정”이라고 설명했습니다.
또 다른 사례에서는 연구기관을 가장해 정부 관계자들에 공격을 시도했는데, 답변을 보내려고 ‘답변’ 버튼을 누르면 다른 전자우편으로 답변이 가도록 설정했습니다.
미 정부 고위관계자는 2일 온라인 브리핑을 통해 “이를 방지하기 위해선 각 단체 또는 기관들의 IT 전문가가 디마크 관련 소프트웨어를 갱신해야 한다”고 설명했습니다.
고위관계자: 관리자들이 이메일 소프트웨어를 설정해야 합니다. 프로그램이 이메일을 보낸 실제 서버와 이메일이 일치하지 않는 곳으로 들어오는 이메일을 확인할 수 있습니다. 그리고 실제 이메일을 알려줄 수 있고, 아니면 이메일이 스팸으로 가거나 차단하게 할 수 있습니다.
구글 산하 사이버 보안 기업인 맨디언트의 게리 프리스(Gary Freas) 수석분석가는 이날 자유아시아방송(RFA)에 “이들은 이를 통해 국제사회의 대북제재에 대한 정보를 수집할 수 있고, 핵 확산 대응에 대한 지식을 수집할 수 있다”라며 “이들의 표적은 단지 비영리단체와 연구기관에만 국한되지 않고, 전 세계 다양한 산업 분야의 조직들도 대상이다”라고 설명했습니다.
에디터 박정우, 웹팀 이경하