앵커: 북한 해커들이 최근 북한 관련 뉴스를 다루는 언론 기자들을 대상으로 새로운 멀웨어(Malware), 즉 악성코드를 이용한 사이버 공격을 시도한 정황이 발견됐습니다. 김소영 기자가 보도합니다.
미국 사이버보안 업체 ‘스테어윌(Stairwill)’은 최근 발간한 보고서에서 북한 해킹조직인 APT37이 북한 관련 내용을 취재하고 보도하는 기자들을 겨냥한 새로운 스피어 피싱(Spear Phishing) 활동을 벌였다고 밝혔습니다.
해킹 수법의 하나인 스피어 피싱은 신뢰할 수 있는 개인이나 단체로 가장한 발신자가 특정대상에 표적화된 내용의 이메일을 발송해 악성코드를 퍼뜨리는 사이버 공격입니다.
이번 스피어 피싱에서는 특히 북한 해커들이 ‘골드백도어(Goldbackdoor)’라고 불리는 새로운 멀웨어를 사용한 것으로 드러났습니다.
새 멀웨어는 지난 3월 18일 북한 전문 매체인 NK뉴스 기자들에게 발송된 이메일에서 파악됐으며, 과거 APT37이 사이버 공격에서 사용하던 ‘블루라이트(Bluelight)’라는 멀웨어의 변종인 것으로 밝혀졌습니다.
이 이메일은 전 한국 국가정보원장의 개인 이메일에서 발송된 것처럼 꾸며졌으며, 골드백도어가 포함된 문서가 첨부돼 있었습니다.
이 문서를 열 경우 수신자의 컴퓨터에 백도어(backdoor)가 설치되면서 원격으로 제어할 수 있기 때문에 개인정보에 접근이 가능해집니다.
백도어 공격은 주인 몰래 뒷문으로 드나드는 것을 비유한 말로 보안 허점을 이용해 인증 절차 없이 공격 대상의 시스템에 접근해 가하는 공격을 뜻합니다.
보고서는 “언론인들은 북한 당국의 가치 높은(high value) 표적”이라며 “기자들의 컴퓨터에 침입하면 매우 민감한 정보에 접근할 수 있고, 해당 정보원에 대한 추가 공격이 가능하기 때문”이라고 설명했습니다.
러시아 기반 보안업체 카스퍼스키의 박성수 연구원은 28일 자유아시아방송(RFA)에 이러한 스피어 피싱은 다단계 감염단계(multi-stage infection process)를 활용해 공격대상의 시스템에 접근하기 때문에 공격 중 감지가 어렵다고 설명했습니다.
마지막 단계에서 악성 기능을 내장한 백도어를 설치해 데이터 유출을 위한 악성코드를 배포한다는 설명입니다.
박성수 연구원 :사이버 공격의 마지막 단계는 백도어 설치입니다. 악성코드 운영자는 이 백도어를 사용해 피해자에게 많은 명령(command)을 보냅니다.
박 연구원은 이러한 멀웨어가 파일 조작에서 수신된 명령 실행에 이르기까지 모든 작업을 수행하는 등 피해자의 장치를 완전히 제어할 수 있다고 지적했습니다.
한편 보고서 저자인 ‘스테어윌’의 실라스 커틀러 수석 연구원은 “북한은 지난 10년동안 정권을 지원하는 핵심 수단으로 사이버 공격을 펼쳐왔다”며 “사이버 공격은 군사 프로그램용 자금 지원을 위해 많이 수행되지만 연구원, 언론인 등을 표적으로 한 해킹은 여전히 북한의 정보작전을 위해 중요하다”고 말했습니다.
기자 김소영 에디터 양성원, 웹팀 이경하