앵커 :한국의 통신사인 KT를 사칭한 북한의 해킹 시도가 포착됐습니다. 최근 북한 해킹 조직은 다양한 주제를 활용한 해킹을 감행하고 있습니다. 서울에서 목용재 기자가 보도합니다.
최근 북한의 해킹 조직이 발신한 것으로 추정되는 피싱 메일, 즉 개인의 정보를 탈취하려는 목적의 전자우편이 포착됐습니다.
이 전자우편은 ‘[KT이용요금명세서] 회원님께 도착한 전자문서를 확인하세요’라는 제목으로 발신자는 ‘KT이용요금명세서(edoc-file@biglobe.ne.jp)’ 입니다. 해당 전자우편 내용에는 한국의 통신사 중 하나인 KT가 보낸 것처럼 위장한 6월 명세서가 담겨 있었습니다.
이와 관련해 KT 관계자는 28일 자유아시아방송(RFA)에 해당 전자우편은 KT가 발신한 것이 아니며 발신자 계정도 KT와 무관하다고 확인했습니다.
해당 전자우편을 분석한 익명을 요구한 보안전문가는 자유아시아방송(RFA)에 “전형적인 북한의 피싱 공격으로 확인했다”며 “북한의 해킹 조직인 김수키(Kimsuky)의 소행인 것으로 분류했다”고 밝혔습니다.
해당 전자우편의 6월 명세서 확인란을 클릭하면 한국의 정보 검색 서비스인 네이버의 계정과 비밀번호를 기입하는 창이 출력됩니다. 6월 명세서를 확인하기 위해 네이버 계정과 비밀번호를 기입하면 해당 정보는 북한 해커에게 유출됩니다.
이 전자우편을 분석한 보안전문가는 “김수키가 다양한 주제로 해킹을 시도하고 있는데 KT와 같은 통신사 사칭은 보기 드문 사례”라고 말했습니다.
한국의 보안전문 기업인 안랩도 지난 16일 게재한 김수키 관련 보고서를 통해 김수키가 다양한 주제를 이용해 악성코드를 유포 중이라고 밝혔습니다.
안랩에 따르면 김수키가 지난 5월 한 달 동안 유포한 악성코드의 파일명은 가상자산, 세무, 임대차계약서, 연회비, 특정 사용자 간 금융거래, 상장심의자료, 4대보험 가입, 게임 계정 제재 안내 등과 관련된 것이었습니다.
안랩은 보고서를 통해 “유포 중인 악성코드는 정상적인 도움말 창을 생성하기 때문에 사용자는 이 화면에 속아 악성 행위를 알아차리기 어렵다”며 “생성된 도움말 창은 특정 분야의 종사자를 목표로 각각 다른 주제를 이용해 위장했다”고 분석했습니다.
한미도 앞서 지난 2일 김수키에 대한 합동 보안권고문을 발표한 바 있습니다. 한국 정부의 경우 김수키를 대북 독자제재 대상으로 지정하기도 했습니다.
당시 한국 외교부는 김수키 등 북한 해킹 조직들이 전세계를 대상으로 무기 개발 및 인공위성, 우주 관련 첨단 기술을 절취해 북한의 위성 개발에 직간접적으로 관여해 왔다고 강조했습니다.
또한 김수키가 언론사·연구기관·대학·정부기관·국회·수사당국·정보검색 사이트 관리자 등 믿을 만한 개인이나 단체를 사칭하며 외교, 안보 현안을 활용해 외교·통일·안보·국방·언론 분야 종사자들에 대한 해킹을 시도하고 있다고 밝혔습니다.
이런 가운데 한국 국가정보원은 28일 북한 정찰총국이 한국의 유명 보안인증 프로그램인 ‘매직라인’(MagicLine4NX)의 보안 취약점을 악용해 지속적인 해킹 공격을 시도하고 있다고 밝혔습니다.
해당 프로그램은 국가, 공공기관 및 금융기관 등의 홈페이지에서 공동인증서를 통해 접속할 경우 본인인증을 위해 개인용 컴퓨터(PC)에 설치됩니다. 그런데 사용자가 이 프로그램을 한 번 설치한 이후 별도로 갱신, 혹은 삭제하지 않으면 북한 해커의 공격 경로로 지속적으로 활용될 수 있다는 게 국정원의 설명입니다.
국정원에 따르면 북한 정찰총국은 지난해 말부터 매직라인의 취약점을 악용해 한국 내 공공기관, 방산, IT 업체, 언론사 등 50여 개 기관의 PC를 감염시켰습니다. 감염된 PC에서 어떤 정보가 유출됐는지 등 세부 피해 내용에 대해서는 추가적인 조사가 진행 중입니다.
국정원은 “최근 국민 대다수 PC에 설치돼 있는 프로그램의 보안 취약점이 북한 해커의 악성코드 유포 경로로 연이어 악용되고 있어 각별한 주의가 필요하다”고 경고했습니다.
에디터 양성원, 웹팀 김상일