앵커 : 최근 북한 해킹 조직이 전자우편뿐 아니라 사회관계망 서비스를 활용해 친분을 쌓은 뒤 악성코드를 보내는 해킹 공격을 감행하고 있습니다. 직접 경험한 내용 박재우 기자가 보도합니다.
지난달 18일 기자 개인 사회관계망 서비스 ‘페이스북 계정’에 친구 신청이 들어왔습니다.
이신화 한국 외교부 북한인권국제협력대사의 요청이었습니다.
메신저를 통해 간단하게 인사를 나눴지만, 대화가 이어지지 못했습니다.
며칠 뒤 다른 대북전문가로부터 해당 계좌가 ‘사칭 계좌’라며 친구를 삭제하라는 경고 문자가 왔습니다.
한국의 보안업체인 지니언스는 지난 10일 해당 계정이 북한 해킹 조직 김수키 '(Kimsuky)'의 소행이라는 보고서를 작성했습니다.
지니언스는 “(해당 계정에서 보낸 파일에서) 김수키의 유사 악성 코드를 식별했다”라며 “북한인권분야 공직자 신분처럼 위장해 페이스북 메신저로 공격 대상을 물색한 후 접근해 악성 링크 클릭을 유도해 공격했다”라고 밝혔습니다.
북한 해킹 조직 김수키는 인민군 정찰총국 산하로 외교·안보·국방 등 분야 개인·기관으로부터 첩보를 수집하는 조직으로 알려져 있습니다.
공격에 활용된 페이스북 계정은 현재 삭제됐지만, 이 대사가 외교부에서 찍은 배경 사진이 등록돼 있었습니다.
이신화 대사는 14일 자유아시아방송(RFA)과 인터뷰에서 당시 사칭계정으로 인해 당혹스러운 상황이었다고 설명했습니다.
이 대사 : 최근 출장을 잠깐 가는데 한 20명 정도가 '너가 맞느냐'고 연락이 왔었어요. 한번은 북한 인권 많이 다루는 한 매체에서 진짜 저인 줄 알았대요. 너무 반가워서 (보낸 파일을) 열어봤다고…. 그래서 좀 곤란 했었죠.
지니언스에 따르면 해당 공격자는 자신이 작성한 비공개 문서를 공유해 주는 척하며, 공격 대상자의 환심을 샀습니다.
전달받은 내용에 현혹된 피해자를 링크로 유도해 피해자가 접속하면, 파일 다운로드가 시작되고, 해킹이 시작됩니다.
기존에 이메일을 활용한 공격과는 달리 북한 해커들이 사회관계망 서비스에서 사칭 계정을 활용하는 겁니다.
앞서 김수키는 일본 외무성 관리를 사칭해 자유아시아방송 기자에게 전자우편을 보낸 정황 또한 확인됐습니다.
지니언스는 “초기 개별 접근은 전자우편 기반의 공격 전략과 유사하나, 페이스북 메신저를 통해 상호 소통하고, 신뢰도를 높이며, 날로 과감해지고 있다”고 설명했습니다.
특히, 이번에 북한 해커들이 보낸 해당 악성파일은 악성코드가 담겨있는지 확인할 수 있는 ‘바이러스토탈’ 홈페이지에서도 탐지하지 못했습니다.
기존에 알려지지 않은 패턴으로 실전 공격에 효과가 높다는 의미입니다.
지니언스는 “1차 방어선이 무력화될 경우를 대비해, 기업이나 기관은 행위기반 이상행위를 탐지하는 전문화된 보안 솔루션을 활용해야 한다”고 밝혔습니다.
에디터 박정우, 웹팀 이경하