앵커 :북한이 이달 초, 지난 2019년 한국 통일부 기자단을 대상으로 한 해킹 당시 사용했던 '오퍼레이션 키티 피싱(Operation Kitty Phishing)' 사이버 공격을 시도한 정황이 포착됐다는 분석이 나왔습니다. 서혜준 기자가 보도합니다.
미국에 본사를 둔 다국적 사이버 보안 업체인 ‘더스크라이즈’(DuskRise)의 ‘클러스터25’(Cluster25)팀은 최근 자체 홈페이지에 “북한, 한국 개인 사용자 목표 오퍼레이션 키티 피싱 공격 작전의 새 장을 열다(DPRK-nexus adversary targets South Korean individuals in a new chapter of kitty phishing operation)”라는 보고서를 공개했습니다.
클러스터25는 이달 초부터 이메일을 사용해 악성코드를 유포하고 이메일 계정 정보를 탈취하려는 해킹 시도를 분석한 결과 해당 공격은 북한의 ‘오퍼레이션 키티 피싱’ 공격이라고 지적했습니다.
북한의 ‘오퍼레이션 키티 피싱’ 공격은 지난 2019년 1월 초, 한국 통일부 출입기자 77명을 포함해 외교, 국방 영역의 정부 인사 등을 대상으로 북한 해커 조직이 악성코드가 포함된 이메일을 배포해 해킹을 시도한 사례로 처음 알려졌습니다.
키티 피싱은 장기간에 걸쳐 준비되며 표적을 관리하는 방식의 해킹 작전으로 북한 정찰총국 산하 해커 조직 ‘김수키(Kimsuky)’가 배후에 있는 것으로 추정되고 있습니다.
보고서는 대다수의 피해자가 한국의 검색 사이트인 ‘네이버(naver)’ 이메일 사용자들이었다며 이를 통해 한국 측으로부터 정보를 훔치려 한 것이라고 설명했습니다.
그러면서 이번에 포착된 북한의 공격은 ‘한국인터넷정보센터(KRNIC)’, ‘안랩(AhnLab)’ 등을 포함한 한국의 인터넷 보안 회사, 또는 ‘바이낸스(Binance)’ 등의 암호화폐 거래소를 사칭해 악성 워드(Word) 문서 파일을 배포했다고 밝혔습니다.
보고서는 이어 이러한 한국의 조직 및 개인 사용자를 대상으로 하는 북한의 유사 공격 작전이 향후 빈도와 강도 면에서 낮아질 가능성은 없을 것이라고 평가했습니다.
앞서 미국의 사이버 보안업체 맥아피(McAfee)는 키티 피싱 공격을 통해 북한이 암호화폐 거래소와 개인 사용자로부터 이더리움과 비트코인 등의 암호화폐를 훔치려 시도하기도 했다고 지적했습니다.
미국의 보안업체 ‘애널리스트1(Analyst1)’은 지난 7일 ‘2022 북한 정보평가(North Korea: Intelligence Assessment 2022)’란 보고서를 통해 북한이 향후 암호화폐 절취에 자원을 집중시킬 것으로 평가하기도 했습니다.
아울러 점증하는 북한의 해킹 위협에 대한 선제적 대응 조치로 한국 국방부는 지난달 21일 국방 사이버방호태세를 ‘4급’에서 ‘3급’으로 격상했고, 과학기술정보통신부 및 국가정보원도 사이버 위기 경보 단계를 ‘관심’에서 ‘주의’로 상향한 바 있습니다.
기자 서혜준, 에디터 양성원, 웹팀 이경하