국무부, 코로나 틈탄 ‘북 사이버공격’에 항시 대응태세

워싱턴-이경하 rheek@rfa.org

2020.03.19

0:00 / 0:00

앵커: 최근 코로나19 사태로 한국과 미국 등에서 재택근무를 하는 공무원과 직장인들이 늘고 있습니다. 북한 추정 해커들은 이런 상황에서 이메일 등을 통한 사이버 공격에 적극 나서고 있다는 지적입니다. 이에 미국 국무부는 북한의 사이버 공격 등 어떠한 위협에도 대응할 준비를 하고 있다고 밝혔습니다. 이경하 기자가 보도합니다.

미국 국무부 대변인실은 19일 자유아시아방송(RFA)에 "다른 글로벌 조직과 마찬가지로 국무부는 사이버 공격의 끊임없는 대상"이라고 밝혔습니다. (As with any global organization, the Department of State is a constant target for cyber-attacks.)

미국 국무부는 최근 코로나19 상황으로 미국 공공기관의 재택근무가 늘어나고, 북한 추정 사이버 공격이 증가하고 있다는 지적에 대한 자유아시아방송(RFA)의 논평요청에 이같이 밝혔습니다.

그러면서 국무부 대변인실은 "국무부는 항상 사이버 보안 위협을 식별하고 어떠한 위협에도 대응하기 위한 조치를 취하고 있다"고 강조했습니다. (Therefore, we are always engaged in identifying cybersecurity threats and taking steps to counter any threats.)

북한 추정 해커들이 미국 국무부 스티븐 비건 부장관 서신으로 위장한 워드 문서파일로, 워드문서처럼 위장한 파일을 실행 후 영문으로 된 ‘2020 한반도 시나리오'(Scenarios for the Korean peninsula 2020)라는 분석 자료가 보여지는 화면. — 북한 추정 해커들이 미국 국무부 스티븐 비건 부장관 서신으로 위장한 워드 문서파일로, 워드문서처럼 위장한 파일을 실행 후 영문으로 된 ‘2020 한반도 시나리오’(Scenarios for the Korean peninsula 2020)라는 분석 자료가 보여지는 화면. (/이스트시큐리티)

아울러 최근 국무부 직원을 사칭하거나 국무부 문서를 위장한 북한 추정 사이버 공격에 대한 자유아시아방송(RFA)의 논평요청에는 “정책상 정보기술시설(IT infrastructure)에 대한 특정 보안조치에 대해서는 언급하지 않겠다”고 밝혔습니다. (As a matter of policy, we do not discuss specific security measures for our IT infrastructure.)

앞서, 북한 추정 해커들은 미국 국무부 스티븐 비건 부장관 서신으로 위장한 워드 문서파일로 사이버 공격을 감행하기도 했습니다.

이런 가운데, 한국의 외교·안보·국방·통일 등과 관련된 정보를 탈취하는 '김수키'의 소행으로 추정되는 사이버 공격이 코로나19 상황 속에서 지속적으로 포착되고 있습니다.

'김수키'는 북한의 해킹 조직으로 알려져 있습니다. 지난 2014년 한국의 수사당국은 한국의 전력, 발전 분야의 공기업인 한국수력원자력을 해킹한 조직으로 '김수키'를 지목한 바 있습니다.

한국 내 민간 보안업체인 이스트시큐리티는 19일 자유아시아방송(RFA)에 '코로나19와 북한'(COVID-19 and North Korea)이라는 제목의 워드문서로, 특정 관계자의 정보를 노린 '지능형지속위협'(APT) 방식의 사이버 공격이 포착됐다고 밝혔습니다.

‘코로나19와 북한'(COVID-19 and North Korea)이라는 제목의 워드문서로, 특정 관계자의 정보를 노린 ‘지능형지속위협'(APT) 방식의 북한 해커 추정의 사이버 공격이 19일 포착됐다. 특히 이 문서에는 ‘북한에 코로나19 확진자가 있나?'(Are there cased of COVID-19 in North Korea?)라는 현혹 문구도 포함돼 있다. — ‘코로나19와 북한’(COVID-19 and North Korea)이라는 제목의 워드문서로, 특정 관계자의 정보를 노린 ‘지능형지속위협’(APT) 방식의 북한 해커 추정의 사이버 공격이 19일 포착됐다. 특히 이 문서에는 ‘북한에 코로나19 확진자가 있나?’(Are there cased of COVID-19 in North Korea?)라는 현혹 문구도 포함돼 있다. (/이스트시큐리티 제공)

이 업체에 따르면 해당 문서는 한국시각으로 3월 20일 제작됐고, 이 악성문서를 실행하는 즉시 북한 추정 해커가 만든 명령제어(C2) 서버로 접속돼 추가 악성파일이 저장됩니다. 특히 이 문서에는 ‘북한에 코로나19 확진자가 있나?’(Are there cased of COVID-19 in North Korea?)라는 현혹 문구도 포함돼 있습니다.

이 업체에 따르면 김수키는 지난 18일에도 ‘개성공단 전문가 칼럼’이란 위장 문서로도 사이버 공격을 감행했습니다. 북한의 코로나19확진자 발생여부와 개성공단 재가동을 통한 마스크 생산에 대한 관심이 높은 사회적 분위기를 이용한 것입니다.

이와 관련, 이스트시큐리티 시큐리티대응센터(ESRC) 문종현 이사는 19일 자유아시아방송(RFA)에 “최근 코로나19 로 재택근무를 하는 회사가 많아지고 있다”며 “특히 개인 컴퓨터를 사용해 업무를 볼 경우 업무용 컴퓨터보다 보안이 취약할 수 있기 때문에 조금이라도 의심이 가는 이메일은 절대 첨부파일이나 링크를 열어보지 말라”고 조언했습니다.

지난 18일 북한의 해킹 조직으로 알려진 김수키가 ‘개성공단 전문가 칼럼'이라는 워드문서로 위장시킨 파일을 실행 화면. — 지난 18일 북한의 해킹 조직으로 알려진 김수키가 ‘개성공단 전문가 칼럼’이라는 워드문서로 위장시킨 파일을 실행 화면. (/이스트시큐리티)

그러면서 문 이사는 수상한 이메일처럼 보이지만 중요한 문서일 경우 보낸 사람과 직접 연락해서 확인해보는 것도 필요하다고 말했습니다.

아울러 미국 워싱턴DC 민간 연구기관인 민주주의수호재단(FDD)의 매튜 하 연구원은 최근 자유아시아방송(RFA)에 북한이 사이버 공간에서 자행하는 불법 행위를 다루는 미국 정부 내 전담 조직이 있어야 한다고 지적했습니다.

하 연구원: 북한의 불법 사이버 행위를 다루는 미국 정부 전담조직 필요성에 대한 인식이 필요합니다. 또한, 북한의 사이버 문제에 대해 미국 정부가 다소 수동적 접근을 취하는 것도 큰 문제입니다. 북한의 이런 활동을 억지하기 위해선 수동적 접근보다는 사전 대비적(proactive)인 접근이 필요합니다.