“‘스티븐 비건 서신’ 위장 북 추정 사이버 공격 포착”

워싱턴-이경하 rheek@rfa.org
2020.03.03
fake_word_file_b 워드문서처럼 위장한 파일을 실행 후 영문으로 된 ‘2020 한반도 시나리오’(Scenarios for the Korean peninsula 2020)라는 분석 자료가 보여지는 화면.
/이스트시큐리티

앵커: 북한 추정 해커들이 미국 국무부 스티븐 비건 부장관 서신으로 위장한 워드 문서파일로 사이버 공격을 감행했습니다. 이경하 기자가 보도합니다.

한국의 외교·안보·국방·통일 등과 관련된 정보를 탈취하는 ‘김수키’의 소행으로 추정되는 사이버 공격이 또 다시 포착됐습니다.

‘김수키’는 북한의 해킹 조직으로 알려져 있습니다. 지난 2014년 한국의 수사당국은 한국의 전력, 발전 분야의 공기업인 한국수력원자력을 해킹한 조직으로 ‘김수키’를 지목한 바 있습니다.

한국 내 민간 보안업체인 이스트시큐리티는 3일 미국 국무부 스티븐 비건의 서신 워드문서로 위장해, 특정 관계자의 정보를 노린 ‘지능형지속위협’(APT) 방식의 사이버 공격이 포착됐다고 밝혔습니다.

또 이번 워드문서의 파일명과 제목을 각각 ‘비건 미국 국무부 부장관 서신 20200302.doc’과 ‘비건 미 국무부 부장관 서신’으로 제작해, 전자우편 수신자를 현혹시켰습니다.

이는 북한 해커가 주로 사용하는 방식의 사이버 공격으로 알려져 있습니다.

마치 워드 문서처럼 위장한 이 파일을 실행하면, 실제 영문으로 된 ‘2020 한반도 시나리오’(Scenarios for the Korean peninsula 2020)라는 분석 자료 화면이 나타납니다. (사진참고)

하지만 실제로는 이 문서를 실행하고 ‘콘텐츠 사용’ 단추를 누르는 순간 악성코드에 감염되고 컴퓨터 내부에 있는 각종 정보를 원격지로 전송하기 때문에, 한 번 감염된 후에는 공격자 마음대로 컴퓨터를 제어하는 등 다양한 악성 행위에 노출될 수 있습니다.

이스트시큐리트 측은 이번 사이버 공격 행태를 분석한 결과, ‘코로나19’ 즉 신형 코로나바이러스(비루스) 사태를 악용해 지난달 2월27일 포착된 사이버 공격과 매우 흡사하다고 설명했습니다.

해킹 공격자는 한국 내 통일 및 평화관련 분야에 종사하는 사람들을 대상으로 계정탈취를 시도하면서 비건 서신 위장 문서파일로 현혹하고, 계정 탈취에 성공했을 경우 추가 악성코드 유포 등이 가능합니다.

이와 관련, 이스트시큐리티 문종현 이사는 3일 자유아시아방송(RFA)에 “이번 공격은 워드(DOC) 문서파일 자체 취약점이 아닌 이용자의 심리적 궁금증을 유발해 악성 파일을 실행하도록 현혹하고 있기 때문에 ‘콘텐츠 사용’을 절대 실행하면 안된다”고 밝혔습니다.

한편, 미국 워싱턴의 정책연구소인 민주주의수호재단(FDD)의 북한전문가 매튜 하 연구원은 3일 자유아시아방송(RFA)에 북한의 사이버 공격 능력은 고도화됐지만, 사이버 공격은 증거가 남지 않아 주범을 찾기가 상당히 어렵다고 지적했습니다.

매튜 하 연구원: 다른 많은 불량정권이 지원하는 해커와 마찬가지로 북한 해커들은 계정을 해킹하기 위해 이메일 자격증명에 접근하는 일에 매우 능숙합니다. (Gaining access to email credentials to hack accounts is something the North Koreans, like many other rogue regime-sponsored hackers, are very skilled at doing.)

한편, 미국 국무부는 비건 특별대표의 서신으로 사칭한 이번 지능형지속위협 공격에 대한 자유아시아방송(RFA)의 논평 요청에 3일 오후까지 답변하지 않았습니다.

댓글 달기

아래 양식으로 댓글을 작성해 주십시오. Comments are moderated.