“북 추정단체, ‘미 연구기관 핵자료’로 사이버 공격”

워싱턴-이경하 rheek@rfa.org
2020-05-27
이메일
댓글
Share
인쇄
스탠포드대학교 국제안보협력센터(CISAC)의 문서로 위장한 악성 워드문서파일을 실행한 화면.
스탠포드대학교 국제안보협력센터(CISAC)의 문서로 위장한 악성 워드문서파일을 실행한 화면.
/이스트시큐리티

앵커: 북한 해커 조직으로 추정되는 ‘코니’(Konni)라는 단체가 미국의 유명 국제안보 연구기관의 핵 관련 자료를 미끼로 악성코드를 유포하고 있는 것으로 알려졌습니다. 이경하 기자가 보도합니다.

한국의 민간 컴퓨터 보안업체인 이스트시큐리티(ESTSecurity)는 27일 미국 스탠포드대학교 국제안보협력센터(CISAC)의 문서로 위장한 악성 워드문서를 미끼로 국제안보 및 핵 관련 분야의 관계자들을 겨냥한 공격이 포착됐다고 자유아시아방송(RFA)에 밝혔습니다.

그러면서 이번 사이버 공격의 주범이 북한 해킹 조직으로 알려진 코니로 추정된다고 분석했습니다.

코니는 한국 내 대북 관계자 및 암호화폐 관계자를 대상으로 ‘지능형지속위협’(APT) 공격을 수년 간 지속적으로 시도 중이며, 최근에는 코로나19 바이러스(비루스)를 화제로 공격을 감행하는 등 사회적 관심이 높은 주제를 공격의 소재로 적극 활용하고 있습니다.

특히 이 업체는 지난해 6월부터 코니와 북한 추정 해킹조직으로 알려진 ‘김수키’(Kimsuky)가 사용하는 여러 악성코드의 변수명과 파일명, 코드 유사도, 설정 암호, IP 주소 등이 매우 흡사하거나 완전히 동일한 사례가 다수 확인되고 있다고 분석했습니다.

북한 추정 공격자가  '※(창고허득)경기 이천 율면 월포리.9980평.급18억.토목완.hwp' 한글 문서 파일 등 다수의 파일을 전자우편에 첨부해 수신자를 현혹한 스피어 피싱 이메일 화면.
북한 추정 공격자가 '※(창고허득)경기 이천 율면 월포리.9980평.급18억.토목완.hwp' 한글 문서 파일 등 다수의 파일을 전자우편에 첨부해 수신자를 현혹한 스피어 피싱 이메일 화면. /이스트시큐리티.

이 업체에 따르면 이번 사이버 공격에 사용된 악성워드문서의 제목은 ‘스탠포드대학교 국제안보협력센터 사이버와 핵 문제에 대한 논의’(CISAC Discussions on Cyber and Nuclear Issues_May 13 2020_v4_ENG)로 지난 21일 제작됐으며, 스피어 피싱 방식으로 공격이 감행된 것으로 분석됐습니다.

스피어 피싱 방식은 이메일을 받아 문서를 열람하면 자동으로 악성코드에 감염되는 방식으로, 평범한 문서 파일로 보이지만 원격 제어 악성코드가 숨겨져 있어 개인정보 유출시도 및 추가 악성코드 설치에 노출될 위험성이 높습니다.

스탠포드 국제안보협력센터는 이번 사이버 공격에 이 연구소의 문서가 도용된 사실을 인지하고 있는지 여부를 묻는 자유아시아방송(RFA)의 질의에 27일 현재까지 답하지 않았습니다.

스탠포드 국제안보협력센터는 지난 2004년 북한 영변 핵시설을 사찰했던 미국 핵무기 전문가 지그프리드 해커 박사가 연구소장을 역임했던 기관으로, 이 기관은 국제평화 및 안보, 인권, 핵과 관련한 국제협력 문제를 주로 연구하고 있습니다.

이런 가운데, 북한의 대표적인 해킹조직으로 알져진 ‘라자루스’도 한국에서 22일 부동산 및 대기업 주식매매 관련 내용을 담은 스피어 피싱 공격을 감행하고 있다고 27일 한국 민간 보안업체인 안랩시큐리티대응센터(ASEC) 등이 밝혔습니다.

이 업체에 따르면 라자루스 조직은 최근까지 한국 내에서 가상화폐를 거래하는 여러 관계자를 주요 표적으로 삼아 공격을 일삼았는데, 이번 공격은 한국 내 증권사 직원을 겨냥한 정황이 확인됐습니다.

이번 북한 추정 공격자는 다수의 파일을 전자우편에 첨부해 수신자를 현혹하는데 이용했으며, 첫번째 보이는 '※(창고허득)경기 이천 율면 월포리.9980평.급18억.토목완.hwp' 한글 문서 파일에 악성코드를 숨겼습니다.

해당 악성 파일을 실행하면 공격자의 추가 명령을 수행하고, 이를 통해 다양한 위협에 노출될 위험이 생기게 됩니다.

한편, 유엔 안전보장이사회 산하 대북제재위원회 전문가단의 알리스테어 모건 조정관은 최근 자유아시아방송(RFA)에 코로나19가 북한의 불법 거래에 영향을 미칠 것이라면서, 사이버 공간을 통한 제재위반을 우려한 바 있습니다.

모건 조정관: 전문가단은 시간이 지남에 따라 북한의 사이버 활동 수익 추정치가 수억 달러 이상이 된다고 보고했습니다. 사이버 수단에 의한 제재 회피는 북한이 상품 수출에 버금가는 주요 수입원이 됐습니다.

원본 사이트 보기