‘비건 방한 분석’ 위장한 북 추정 사이버 공격 포착

워싱턴-이경하 rheek@rfa.org
2019-02-08
이메일
댓글
Share
인쇄
공격에 사용된 서버인 한국 대전 지역에 위치한 반도체 장비 제품 등을 판매하는 N모 기업의 웹사이트.
공격에 사용된 서버인 한국 대전 지역에 위치한 반도체 장비 제품 등을 판매하는 N모 기업의 웹사이트.
Photo: RFA

앵커: 스티븐 비건 미국 국무부 대북정책 특별대표의 최근 남북한 방문을 계기로 북한 추정 해커들이 한국 정부기관을 사칭해 계정 탈취를 시도하는 사이버 공격을 감행했습니다. 이경하 기자가 보도합니다.

8일 자유아시아방송(RFA)이 해킹 공격용 이메일 자료를 확보해 조사한 결과, 비건 특별대표의 방한 관련 내용을 포함한 한글문서를 보여주면서 계정 탈취를 시도하는 지능형지속위협(APT) 유형의 사이버 공격이 지난 3일부터 포착됐습니다.

또 이번 이메일 자료에 발신자는 통일부 관계자처럼 보이도록 이메일 주소를 조작해 수신자를 현혹시켰습니다. 이는 북한 해커가 주로 사용하는 방식의 사이버 공격으로 알려져 있습니다.

이번 사이버 공격에서 눈에 띄는 점은 비건 특별대표의 방한과 방북에 대한 관심이 높은 사회적 분위기를 이용해 이뤄졌다는 것입니다.

이번 공격이 시작된 지난 2월 3일은 비건 특별대표가 한국을 방문한 시점이었고, 한국과 북한의 설명절 연휴 기간이기도 했습니다.

또 6일은 비건 특별대표가 평양을 도착한 시점이며, 비건 특별대표의 행보에 이목이 집중됐을 시기에 해당 공격이 수행됐다는 점입니다.

사이버공격에 사용된 비건 특별대표의 방한 관련 내용을 포함한 한글문서.
사이버공격에 사용된 비건 특별대표의 방한 관련 내용을 포함한 한글문서. RFA PHOTO

실제 해당 문서를 열면 비건 특별대표의 협상전략과 전망을 분석한 내용이 나옵니다. △비건 대표가 미북 비핵화 실무협상에 앞서 서울에서 협상전략을 최종조율 한다 △ 비건 대표가 귀국시점을 언급하지 않아 미북 간 접점을 찾기 전까지 철수하지 않겠다는 방침으로 풀이된다 등의 분석이 담겨있습니다. (사진참고)

해킹 공격자는 한국내 통일 및 평화관련 분야에 종사하는 사람들을 대상으로 계정탈취 시도를 수행하면서 비건 특별대표 방한 관련 내용으로 현혹하고, 계정 탈취를 성공했을 경우 추가 악성코드 유포 등에 사용할 가능성이 높습니다.

이번 비건 특별대표 관련 공격은 특정 표적에게만 보낸 스피어 피싱(Spear Phishing) 유형으로, 이메일을 받아 링크를 클릭해 문서를 열람하면 자동으로 피싱 사이트가 열려 계정을 탈취하는 방식입니다.

북한과 연계된 것으로 추정되는 해커들은 이번 표적 공격을 한국의 통일 및 남북평화 활동 단체와 개인을 대상으로 감행했습니다.

또 공격에 사용된 서버는 한국 대전 지역에 위치한 반도체 장비 제품 등을 판매하는 N모 기업의 웹사이트로, 이 웹사이트가 북한 추정 해커로부터 해킹돼 악용됐습니다.

아울러 이번 사이버 공격자는 지난해 한국 청와대를 사칭해 해킹 이메일을 보냈던 조직으로 추정되고 있습니다.

올해 지속적으로 한국 정부 기관을 사칭한 해킹 시도가 지속적으로 발생하고 있어 현재 관련업계가 긴장한 상황입니다.

이런 가운데, 지난 5일 미국 워싱턴의 정책연구소인 민주주의수호재단(FDD)이 5일 개최한 ‘사이버 공격’ 관련 토론회에서 비건 특별대표가 북한의 사이버 위협도 의제에 포함시킬 필요가 있다는 지적도 나오기도 했습니다.

이 재단의 북한전문가 매튜 하 연구원은 북한과 실무협상에 나선 비건 특별대표가 북한과의 협상에 있어 사이버 문제도 논의해야 한다고 강조했습니다.

매튜 하 연구원: 북한 위협은 핵 문제만이 아닙니다. 코츠 (DNI) 국장이 상원 정보위원회에 제출한 ‘전 세계 위협 평가’ 보고서에서 지적한 사이버 위협도 북한의 수 많은 문제 중 하나로 대북 협상에서 다뤄야 합니다.

한편, 한국 통일부는 비건 특별대표의 방한 관련 내용을 사칭한 이번 지능형지속위협 공격에 대한 자유아시아방송(RFA)의 논평 요청에 8일까지 답변하지 않았습니다.

원본 사이트 보기