“북 해커, ‘바이든 정책분석’ 위장 사이버 공격”

워싱턴-이경하 rheek@rfa.org
2020-11-17
Share
biden_doc.jpg 바이든 시대 북한 비핵화 내용 등으로 현혹하며 '콘텐츠 사용' 버튼 실행을 유도하는 악성 문서 화면(위). 바이든 시대 북한 비핵화 내용 등으로 현혹하는 악성 문서 실행 화면(아래).
사진출처: 이스트시큐리티

앵커: 북한 추정 해커들이 최근 미국 대선에서 승리한 조 바이든의 북한 정책 분석 문서로 위장한 파일로 사이버 공격을 감행한 것으로 알려졌습니다. 이경하 기자가 보도합니다.

미국뿐 아니라 한국 내 방위 산업체를 포함해, 북한 연구 분야 종사자와 탈북민, 북한 관련 취재기자를 집중적으로 공격하는 북한 해킹조직 ‘탈륨’의 소행으로 추정되는 사이버 공격이17일 포착됐습니다.

‘탈륨’은 지난해 12월 미국의 다국적 기업인 마이크로소프트(MS)가 미국 버지니아주 연방법원에 정식으로 고소장을 제출하며 국제사회에 알려진 해킹 조직으로 북한 정권과 관련돼 있는 것으로 추정되고 있습니다.

한국 내 민간 보안업체인 이스트시큐리티는 17일 자유아시아방송(RFA)에 지난 3일 미국 대선 결과에 따른 ‘바이든 시대 북한 비핵화 협상의 또 하나 암초 – 북한체제안전 보장 문제’란 제목의 워드문서를 통해, 특정 관계자의 정보를 노린 ‘지능형지속위협’(APT) 방식의 사이버 공격이 포착됐다고 밝혔습니다. (사진참고)

이 업체에 따르면 새롭게 발견된 악성 파일은 마이크로소프트 워드 문서(DOC) 형태로 유포되고 있으며, 전자우편에 문서 파일을 내려받기(download) 할 수 있는 ‘인터넷 주소’(URL)를 기재해 수신자가 내려받아 악성감염을 유도하는 방식입니다.

특히 이 ‘인터넷 주소’는 마치 한국의 유명 인터넷 검색업체인 ‘네이버’(Naver)의 인터넷 주소와 유사하게 위조돼, 수신자가 공식 사이트로 생각하고 의심없이 위조 웹사이트를 통해 악성 문서를 내려 받도록 설계돼 있습니다.

그러면서 전자우편 수신자가 위조 웹사이트에서 악성 문서 파일을 내려받아 실행하면, 문서 내용이 바로 보이지 않고 상단에 보안 경고창이 나타나며 ‘콘텐츠 사용’ 버튼을 클릭하도록 유도하고 있습니다.

하지만 ‘콘텐츠 사용’ 버튼을 클릭하면 정상적인 문서 내용이 나타나지만, 실제로는 내부에 숨겨진 악성코드 명령이 순식간에 작동해 컴퓨터의 정보를 해커가 지정한 서버로 전송하고, 추가 원격제어 등의 해킹 피해로 이어질 수 있는 상태가 됩니다.

이 업체는 ‘콘텐츠 사용’ 버튼을 클릭하면 나타나는 문서에는 미국과 북한의 비핵화 협상 제안과 회담 내용 등을 담고 있어, 북한 관련 분야에서 활동하거나 관심을 가진 사람이 위협에 노출될 가능성이 높다고 지적했습니다.

그러면서 이처럼 악성 문서 파일 기반으로 공격한 점을 미뤄볼 때, 이번 공격은 전형적인 스피어 피싱 공격일 가능성이 높다고 이스트시큐리티 측은 밝혔습니다.

이와 관련, 미국 민주주의수호재단(FDD)의 사이버 안보 전문가인 매튜 하 연구원은 17일 자유아시아방송(RFA)에 ‘김수키’라는 이름으로도 알려진 ‘탈륨’의 사이버 공격이 2016년 이후 증가하고 있다고 지적했습니다.

그러면서 그는 사이버 공격이 2016년 이후 대북제재, 코로나19, 재택근무 증대, 식량안보 문제, 내부불안정 등으로 인해 북한이 새롭게 수익을 창출하는 방법으로 사이버 공격을 증가시키고 있다고 지적했습니다.

하 연구원: 북한은 더 많은 불법적인 수입을 끌어내기 위해 사이버 공격을 집중하고 있습니다. 북한이 정보탈취와 돈벌이에 많은 노력을 쏟고 있는 유일한 불량 사이버 강국임은 두말할 나위도 없습니다.

이런 가운데, 미국 국무부는 17일 최근 북한이 코로나19 백신 개발 회사 등을 대상으로 해킹 공격을 감행했다는 마이크로소프트사의 지적과 북한의 잇따른 사이버 공격에 대한 자유아시아방송(RFA)의 논평요청에 대한 답변 수위를 전보다 더 높였습니다.

이날 국무부 대변인실 관계자는 “북한은 금융기관에 중대한 사이버 위협을 가하고 있으며, 여전히 사이버 첩보 활동은 위협으로 남아 있고, 파괴적인 사이버 활동을 수행할 수 있는 능력을 보유하고 있다”고 지적했습니다. (North Korea poses a significant cyber threat to financial institutions, remains a cyber espionage threat, and retains the ability to conduct disruptive cyber activities.)

국무부 측은 지난 6월 북한의 악의적인 사이버 활동은 미국과 전 세계 국가들을 위협하고 있기 때문에 다른 국가들과 협력하고 있다는 원론적인 입장만 밝힌 바 있습니다.

또 당시 국무부는 북한의 사이버 공격과 관련해 자유아시아방송(RFA)에 “미국은 사이버 공간을 교란하고, 파괴적 또 그밖의 불안정을 야기하는 행동에 주의를 집중하고, 비난하기 위해서 동일한 생각을 가진 국가들과 긴밀히 협력하고 있다”고 지적했습니다.

댓글 달기

아래 양식으로 댓글을 작성해 주십시오. Comments are moderated.

원본 사이트 보기