앵커 :자유아시아방송이 수집한 북한 해커 추정 피싱 이메일을 분석해 본 결과 이들은 자신들의 악성코드를 전파하기 위해 수신자들에 링크와 파일 클릭을 적극적으로 유도하고 있는 것으로 나타났습니다. 박재우 기자가 보도합니다.
자유아시아방송이 수집한 이메일 12개 중 3개는 한국 전문가들에게 보낸, 한국어로 된 이메일이었고 9개는 워싱턴D.C.의 미국 전문가들에게 보낸 영문 이메일이었습니다.
이들 중에는 언론인을 사칭해 전문가들에게 접근하는 사례가 많았습니다.
자유아시아방송이 미국의 민간연구기관인 브루킹스 연구소의 한 연구원으로부터 확보한, 한국 동아일보 기자를 사칭하는 해커의 피싱 이메일.
이 해커는 지난해 3월 인터뷰를 요청하면서 8개의 질문을 보낸 뒤, 연구원이 답변을 보내자 자신이 구글 드라이브에 인터뷰 질문을 새롭게 추가했다며 링크 클릭을 유도했습니다.
자유아시아방송이 확보한 다른 이메일은 지난 1월 한국 서강대학교의 김재천 교수에게자유아시아방송 ‘양혜영 기자’라며 접근했지만, 이 이름의 기자는 실제 존재하지 않습니다.
이 이메일에서 해커는 역시 암호화된 구글드라이브 링크를 공유했고, 김 교수가 의심쩍어하자“우리 채널에서는 비번없이 문서를 보내는 것이 불허돼있습니다”라고 언급하며 클릭을 종용했습니다.
싱가포르 국영 뉴스 채널 CNA 기자라고 속이고 탈북민 방송인 안찬일 박사에게 접근한 해커의 이메일도 있었습니다.
이 해커는 지난해 10월“한반도와 동아시아의 군비 경쟁 우려에 대한 1시간 다큐멘터리를 제작 중”이라며 인터뷰를 요청했고 이메일 말미에 역시 링크를 첨부했습니다.
그는 “링크에는 제작 본부장의 서명과 직인이 날인된 영문 제작 공문이 첨부돼 있다”고 언급했지만, 실제는 악성코드가 심어진 링크였습니다.
이 외에도 해커들은 구글 지메일이나 AOL 메일 계정을 사용해 자신들을 일본 교도통신, 자유아시아방송, 미국의소리(VOA) 기자라고 속이고 대북 전문가들에게 인터뷰를 빌미로 접근했습니다.
전문가들이 인터뷰를 허락하자 이메일에서 링크 또는 암호화가 된 워드 파일을 보내는 방식으로 공격했습니다.
언론인이 아닌 미국 민간연구기관 스팀슨센터의 연구원을 사칭한 사례들도 최근 급증하고 있습니다.
자유아시아방송이 나탈리아 슬라브니 스팀슨센터 연구원으로부터 받은 이메일에 따르면, 지난달 8일 해커는 슬라브니 연구원을 사칭해 다른 연구소 연구원에게 자신이 쓴 분석글에 대한‘검토’를 요청했습니다.
그 문서에도 비밀번호가 적혀있었고, 의심쩍은 그 연구원이 직접 슬라브니 연구원에게 연락하면서 가짜 이메일이라는 사실이 드러났습니다.
슬라브니 연구원은 20일 자유아시아방송에“해커들이 최근 우리가 지난해 개최한 회의를 다시 개최한다며 사람들을 속이고 있다”라며“이 같은 공격은 계속되고 있다”고 설명했습니다.
지난 8일에는 해커가 자유아시아방송 기자 지인을 사칭해 자유아시아방송 기자 개인 이메일에 ‘북한이탈주민 초빙강의.zip’라는 파일의 링크를 보내는 사례도 발견됐습니다.
반하트 분석가 :보내주신 한 이메일에서는 파일확장자가 zip 파일이라고 써 있었습니다. 그러나 이는 다른 링크로 보내기 위장하는 파일이었습니다. 그 파일을 클릭한다면 당신을 (악성코드가 있는) 파일로 데려갈 것입니다.
반하트 분석가는 최근 들어 북한 해커들이 기자와 전문가들의 언론사, 연구소 이메일이 아닌 개인 이메일을 노리고 있다고도 분석했습니다.
반하트 분석가 :그들은 자유아시아방송이나 암호화폐 거래소를 직접 공격하려고 하지 않습니다. 왜냐면 큰 단체를 공격한다면 법 집행기관에 노출될 수 있기 때문입니다. 그래서 관련자들의 개인 계정을 공격해 좀 더 느슨한 상황을 만든 뒤 공격하는 게 최근 추세입니다.
이 사례들은 그동안 전문가들과 한미 정부가 밝힌 북한 해커들의 사회공학기법 방식과 매우 유사합니다.
자유아시아방송(RFA)은 이처럼 북한 해커들이 보낸 것으로 추정된 12개의 피싱 이메일을 수집해 전문가와 함께 분석한 결과 해커들은 수신자가 암호화된 파일과 링크를 무의식적으로 클릭하도록 유도(사회공학적 기법 활용)한 것으로 나타났습니다.
사이버 안보 전문가들은 해당 이메일에 사용된 악성코드는 대북정책 관련 전문가들을 대상으로 해킹공격을 감행해온 것으로 알려진 북한 해킹조직 ‘김수키’의 소행으로 분석했습니다.
구글 산하 사이버 보안 기업인 맨디언트의 마이클 반하트(Michael Barnhart) 수석분석가는 (9일) 자유아시아방송에“분석 결과 해당 이메일들은 APT43으로 알려진 김수키가 보낸 것으로 보인다”고 설명했습니다.
자유로운 논의를 위해 익명을 요구한 다른 사이버 안보 전문가도 “이들이 보낸 악성코드가 모두 이전에 북한이 보냈던 악성코드와 일치한다”고 평가했습니다.
악성코드뿐 아니라 사람 사이에 신뢰를 기반으로 하는 ‘사회공학기법’을 사용하는 방식 또한 비슷했습니다.
의심이 많거나 보안 경각심이 높은 대상자의 경우 신뢰를 먼저 구축한 뒤 공격을 진행하는 방식을 ‘사회공학기법’이라고 합니다.
사이버 보안업체인 시스코 탈로스(Cisco Talos)의 애쉬어 말호트라(Asheer Malhotra)위협분석가는 (7일) 자유아시아방송에 북한 해커들의 전형적인 방식을 소개했습니다.
말호트라 분석가 :먼저 해커들이 피싱 이메일을 보내 특정 사건과 특정 뉴스와 관련해'여러분의 의견이 필요하다'고 말할 것입니다. 이에 응답하고 그들과 이야기가 시작되면 신뢰를 쌓기 위해 천천히 대화를 합니다. 몇 주 동안 이메일을 주고받으면 악성코드 샘플을 보낼 것입니다. 열어보고 검토해달라고 요청합니다.
지난 1일 한미 양국은 정보·기술을 탈취해 온 북한의 대표적인 해킹 조직 ‘김수키(Kimsuky)’에 대한 ‘사이버 안보 합동주의보’를 발표했습니다.
주의보에 따르면 이들은 신뢰 관계를 이용해 사람을 속여 비밀 정보를 획득하는 기법으로 사이버 공격을 하고, 특정인을 속이기 위해 제작된 이메일을 활용해 개인 정보를 훔쳐왔습니다.
특히 언론사, 대학, 정부기관 등을 사칭해 외교·통일·국방 주요 인물에게 접근해 이메일에 첨부한 악성 프로그램을 통해 해킹하는 방식으로 이번 사례들과 일치합니다.
에디터 박정우, 웹팀 이경하