앵커 :한국의 대학교수들을 표적으로 삼는 해킹 시도가 포착됐습니다. 한국의 사이버 보안 업체는 북한의 해킹 조직 '김수키'가 그 배후에 있는 것으로 추정했습니다. 서혜준 기자가 보도합니다.
한국의 민간 보안업체인 안랩시큐리티대응센터(ASEC)는 14일 ‘대북관련 원고 요구사항을 가장한 APT 공격시도 (Kimsuky)’란 보고서를 공개했습니다.
보고서는 최근 특정 대학에 소속된 교수를 대상으로 ‘지능형지속위협’(APT) 사이버 공격 시도가 있었다며 기존에 발생했던 사례들을 토대로 북한 정찰총국 산하 해커 조직 ‘김수키(Kimsuky)’가 그 배후에 있다고 추정했습니다.
‘김수키’는 지난 2014년 한국의 전력, 발전 분야의 공기업인 한국수력원자력을 공격한 것으로 지목된 북한 해킹 조직입니다.
보고서는 악성 파일이 마이크로소프트 워드 문서(DOC) 형태로 ‘3월 월간 카이마 원고_요구사항.doc’이란 제목으로 유포되고 있다고 밝혔습니다.
카이마(KIMA)는 한국군사문제연구원에서 발행하는 안보, 국방, 군사 분야를 다루는 정책제안 전문 월간지 이름입니다.
보고서는 공격자가 스피어 피싱(spear phishing) 공격을 수행했는데, 워드 문서 열람시 공격자 서버로부터 추가 명령(VBS) 파일이 저장됨과 동시에 코드가 실행되면서 악성 파일에 노출되는 방식이었다고 설명했습니다.
VBS 코드가 공격자 서버와 통신하는 방식은 기존 북한 연관 그룹 소행으로 추정되는 PDF 논문 문서를 이용한 공격과 유사하다고 업체는 전했습니다.
이와 관련해 미국의 안보 관련 민간연구소 ‘발렌스 글로벌(Valens Global)’의 매튜 하(Mathew Ha) 연구원은 15일 자유아시아방송(RFA)에 이러한 해킹의 목적은 북한의 사이버 피싱 수법을 강화하기 위한 것이라고 설명했습니다.
하 연구원 :김수키 조직의 이러한 해킹 시도는 그들의 피싱 수법의 정당성과 속임수, 그리고 사회공학기법을 다양화하고 강화하려는 수단입니다.
하 연구원은 또 대학 교수들은 미국과 한국의 (대북)정책 관련 대화 내용 등 그들의 다양한 인맥을 통해 접근할 수 있는 정보가 많기 때문에 이들이 해커들의 표적이 되는 것이라고 설명했습니다.
아울러 하 연구원은 북한의 사이버 해킹이 경제 및 간첩 활동에 이익이 되는 도구이기 때문에 김정은 총비서가 지속적으로 주목하는 분야라고 평가했습니다.
그러면서 북한의 사이버 공격에 가장 현명한 대응법은 공격을 실행한 후 분석하는 것이 아니라 다음 표적에 대한 공격을 미리 예방하는 것이라고 덧붙였습니다.
한편 한국 세종연구소의 정성장 북한연구센터장은 최근 자유아시아방송(RFA)에 북한의 해킹 수법이 날로 고도화 되고 있다며 자신을 사칭한 해킹 메일이 지속적으로 발송되고 있다고 전했습니다.
실제 지난 1월 20일 자유아시아방송(RFA) 기자는 정 센터장을 사칭해 최근 북한의 미사일 발사와 관련한 랜드연구소 분석관 등과의 인터뷰 자료를 요청하는 피싱 메일을 수신하기도 했습니다.
기자 서혜준, 에디터 양성원, 웹팀 김상일