“북 해커, ‘코로나 지원금’ 위장해 500만명 사이버 공격”

워싱턴-이경하 rheek@rfa.org
2020-06-25
이메일
댓글
Share
인쇄
싱가포르 본부를 둔 민간 사이버 보안업체인 ‘사이퍼마’(Cyfirma)의 미국 지사가 최근 공개한 ‘사이퍼마 연구원이 발견한 북한 라자루스 조직의 전세계 코로나19 피싱 캠페인’이란 보고서에서 북한 추정 해커들이 정부 기관을 사칭하며, 코로나19 지원금과 관련된 내용과 함께 ‘피싱사이트’ 링크를 보낸 피싱(phishing) 전자우편 화면.
싱가포르 본부를 둔 민간 사이버 보안업체인 ‘사이퍼마’(Cyfirma)의 미국 지사가 최근 공개한 ‘사이퍼마 연구원이 발견한 북한 라자루스 조직의 전세계 코로나19 피싱 캠페인’이란 보고서에서 북한 추정 해커들이 정부 기관을 사칭하며, 코로나19 지원금과 관련된 내용과 함께 ‘피싱사이트’ 링크를 보낸 피싱(phishing) 전자우편 화면.
/Cyfirma 보고서 캡쳐

앵커: 미국과 싱가포르의 민간 사이버 보안업체들은 북한 추정 사이버 공격 조직이 코로나 19 지원금을 미끼로 전 세계 정부 기관들을 사칭하며 사이버 공격을 가하고 있다고 분석했습니다. 이경하 기자가 보도합니다.

싱가포르 본부를 둔 민간 사이버 보안업체인 ‘사이퍼마’(Cyfirma)의 미국 지사가 최근 ‘사이퍼마 연구원이 발견한 북한 라자루스 조직의 전세계 코로나19 피싱 캠페인’(Global COVID 19-related phishing campaign by North Korean operatives Lazarus group exposed by Cyfirma researchers)이란 보고서를 공개했습니다.

이 업체는 보고서를 통해 피싱(phishing campaign) 즉, 북한 해킹 조직으로 알려진 ‘라자루스’가 인터넷 전자우편을 통해 개인 정보를 알아내 피해자들을 속이면서 돈이나 정보를 빼돌리는 사기 행각을 하고 있다고 분석했습니다.

특히 보고서는 ‘라자루스’가 이달 들어 지난 1일부터 16일까지 미국과 한국, 일본, 영국, 인도, 싱가포르 등 6개국의 개인 및 기업을 포함한 약 500만 명을 대상으로, 코로나 19 지원금을 준다는 전자우편에 악성코드와 ‘피싱사이트’ 링크를 심어 보내는 조직적인 사이버 공격을 감행했다고 지적했습니다.

‘피싱사이트’란 실제와 유사한 인터넷 웹사이트로 위장해, 개인 및 단체의 정보를 탈취하거나 금전적 피해를 보게 하는 사이버 공격의 한 형태입니다.

‘라자루스’는 2017년 5월 전 세계 150여 개국 30여 만대의 컴퓨터를 강타한 ‘워너크라이’ 랜섬웨어 공격의 배후로 알려져 있으며, 지난 2018년 9월 미국 정부가 처음으로 해커 이름과 얼굴까지 공개한 북한 해커 박진혁이 소속된 조직입니다.

보고서에 따르면 최근 전 세계 정부가 코로나19로 인한 경기부양책의 일환으로 지원금을 지급하는 데 대한 사회적 관심이 높아지고 있는 상황을 노려, 북한 추정 해커들이 정부 기관을 사칭하며, 코로나19 지원금과 관련된 내용과 함께 ‘피싱사이트’ 링크를 전자우편으로 보내고 있습니다. 

코로나19지원금을 미끼로 수신자로 하여금 마치 정부기관이 보낸 것으로 착각하게 만들어 ‘피싱사이트’에 비밀번호를 입력하도록 현혹하는 것입니다.

그러면서 보고서는 실제 북한 추정 해커들이 한국과 미국의 정부기관을 사칭해 만든 가짜 이메일 계정에서 보낸 한국의 코로나19 긴급재난지원금과 미국의 경기부양 지원금(stimulus check) 관련 전자우편의 내용도 공개했습니다.

구체적으로 북한 추정 해커들은 한국의 전자우편 계정 약 70만 개에 100만원의 긴급추가 지원금을, 미국에서는 전자우편 계정 약 140만 개에 미화 1천 달러를 주겠다는 전자우편을 보냈습니다.

아울러 미국의 사이버 보안기업 리버싱랩스(ReversingLabs)도 23일 ‘라자루스’라는 이름으로도 잘 알려진 북한의 해킹조직 ‘히든 코브라’와 관련된 보고서인 ‘히든 코브라 – 탈피에서 독사 둥지까지’(Hidden Cobra - from a shed skin to the viper’s nest)를 공개했습니다.

‘히든 코브라’는 지난 2017년부터 미국 정부로부터 전 세계의 언론, 항공우주, 금융, 그리고 중요한 기반 시설을 목표로 하는 주요 사이버 공격자로 지목받고 있습니다.

보고서는 ‘히든 코브라’가 한국과 미국 등의 공공기관을 노린 사이버 공격을 늘리고 있다고 지적했습니다.

그러면서 ‘히든 코브라’가 정부기관을 사칭한 ‘피싱사이트’ , 즉 실제와 유사한 가짜 인터넷 웹사이트로 위장해 사이버 공격을 감행하고 있다고 지적했습니다.

이와 관련, 미국 민간연구기관인 민주주의수호재단(FDD)의 사이버 전문가인 매튜 하 연구원은 25일 자유아시아방송(RFA)에 “김정은 정권은 북한의 사이버 전력이 핵무기 및 미사일과 같이 강력한 공격력을 보장하는 다목적 무기로 여기고 있다며, 북한의 악의적인 사이버 공격은 지속될 것”이라고 말했습니다.

하 연구원: 북한의 악의적인 사이버 작전은 북한의 다양한 불법 행위, 평시 안보도발, 첩보활동을 지속할 수 있는 방법을 제공하고 있습니다. (Pyongyang’s malicious cyber operations provide it with a discreet way of continuing a range of its illicit activities, peacetime security provocations, espionage.)

이런 가운데, 한국과 미국 보안 업계에 따르면 올해가 6.25 한국 전쟁 70주년이면서 지난 2013년 6.25 사이버테러 7주년이기 때문에 북한의 도발 가능성이 다른 때보다 높다는 지적이 나오고 있습니다.

2013년 6월 25일 발생한 6.25 사이버테러는 한국 청와대와 국무조정실 홈페이지 해킹을 시작으로 한국언론재단과 당시 한국의 여당인 새누리당(현 미래통합당)의 서울·경기·인천·부산·울산·광주·강원·경북 등 8개 시도당 홈페이지가 해킹 당했던 사건입니다.

원본 사이트 보기