“한국 통일교육원 직원 사칭 해킹 포착…북 소행 추정”

워싱턴-이경하 rheek@rfa.org
2020-02-06
이메일
댓글
Share
인쇄
북한의 사이버 해킹 일러스트레이션.
북한의 사이버 해킹 일러스트레이션.
RFA Graphic

앵커: 한국의 통일부 산하 통일교육원 전직 직원을 사칭한 해킹 시도가 포착됐습니다. 한국 내 민간 보안업체는 북한 해킹 조직과 연계된 것으로 알려진 ‘김수키’가 배후에 있는 것으로 추정했습니다. 이경하 기자가 보도합니다.

통일교육원 전직 직원의 주민등록표 등본  PDF 문서처럼 위장한 파일의 실행화면.
통일교육원 전직 직원의 주민등록표 등본 PDF 문서처럼 위장한 파일의 실행화면. /이스트시큐리티

한국의 외교·안보·국방·통일 등과 관련된 정보를 탈취하는 ‘김수키’의 소행으로 추정되는 사이버 공격이 또 다시 포착됐습니다.

‘김수키’는 북한의 해킹 조직으로 알려져 있습니다. 지난 2014년 한국의 수사당국은 한국의 전력, 발전 분야의 공기업인 한국수력원자력을 해킹한 조직으로 ‘김수키’를 지목한 바 있습니다.

한국 내 민간 보안업체인 이스트시큐리티는 6일 한국의 주민등록 등본 파일 사진으로 위장해, 특정 관계자 정보를 노린 ‘지능형지속위협’(APT) 방식의 사이버 공격이 발견됐다고 밝혔습니다.

마치 PDF 문서처럼 위장한 이 파일을 실행하면, 실제 통일교육원 전직 직원의 주민등록표 등본 화면을 나타납니다.

하지만 실제로는 이 파일을 여는 순간 악성코드에 감염되고 컴퓨터 내부에 있는 각종 정보를 원격지로 전송하기 때문에, 한 번 감염된 후에는 공격자 마음대로 컴퓨터를 제어하는 등 다양한 악성 행위에 노출될 수 있습니다.

그러면서 이 업체는 이번 사이버 공격 행태를 분석한 결과, 지난해 12월 한국에서 논란이 된 ‘청와대 행사 견적서’로 둔갑한 사이버 공격과 매우 흡사하다고 설명했습니다.

한편, 한국 내 보안업체 관계자들에 따르면, 최근 2월까지 북한 추정 해킹 공격이 지속적인 증가 추세를 보이고 있다고 지적했습니다.

특히 최근 보고된 사이버 공격 사건에 북한 추정 해커의 흔적이 자주 포착되고 있습니다.

최근 2월 발생한 해킹 공격용 자료를 6일 확보해 조사한 결과, 북한식 한글인 문화어 ‘혼쌀나겠니?’(한국 표준어: 혼쭐나겠니?)와 ‘복사되였습니다’(한국 표준어: 복사됐습니다.), 그리고 한국에서도 쓰이지만 북한에서 자주 쓰이는 한글식 표현인 ‘통보문’ 등이라는 단어가 사이버 공격 중에 쓰였다.
최근 2월 발생한 해킹 공격용 자료를 6일 확보해 조사한 결과, 북한식 한글인 문화어 ‘혼쌀나겠니?’(한국 표준어: 혼쭐나겠니?)와 ‘복사되였습니다’(한국 표준어: 복사됐습니다.), 그리고 한국에서도 쓰이지만 북한에서 자주 쓰이는 한글식 표현인 ‘통보문’ 등이라는 단어가 사이버 공격 중에 쓰였다. /RFA Photo

실제 자유아시아방송(RFA)이 최근 2월 발생한 해킹 공격용 자료를 6일 확보해 조사한 결과, 북한식 한글인 문화어 ‘혼쌀나겠니?’(한국 표준어: 혼쭐나겠니?)와 ‘복사되였습니다’(한국 표준어: 복사됐습니다.), 그리고 한국에서도 쓰이지만 북한에서 자주 쓰이는 한글식 표현인 ‘통보문’ 등이라는 단어가 사이버 공격 중에 쓰였습니다.

한국 경찰대 치안정책연구소가 최근 발간한 ‘치안전망 2020’ 보고서에 따르면 탈북민의 정착지원 업무를 담당하는 한국 통일부를 대상으로 한 사이버 공격도 매년 증가했습니다.

이 보고서에 따르면 지난 2014년부터 2019년 7월까지 통일부를 대상으로 한 북한 추정 사이버 공격 시도 현황은 1천841건으로 확인됐습니다.

한편, 보안업체 관계자들은 최근 신종 코로나바이러스(비루스)로 인해 중국 현지나 제3국에 파견돼 활동하는 북한 해커의 사이버 공작 활동이 다소 주춤할 수도 있지만, 신종 코로나 바이러스 상황에 따라서 북한 해커들이 본국으로 귀국한다면 사이버 공격의 양상이 변화할 수도 있다고 분석했습니다.

원본 사이트 보기