앵커 : 오는27일 열리는 제2차 미북 정상회담에 대한 관심이 고조되고 있는 가운데, 북한 추정 해커들이 '미북 정상회담 좌담회 초청장'으로 위장한 한글파일에 악성코드를 담아 유포하는 사이버 공격활동을 감행했습니다. 이경하 기자가 보도합니다.
한국의 민간 컴퓨터 보안업체인 이스트시큐리티(ESTSecurity)는 21일 한국 민간단체 ‘한미우호협회’(KAFS)의 ‘미북 정상회담 결과에 대한 특별좌담회 초청장’을 사칭한 지능형지속위협(APT) 공격이 발견됐다고 밝혔습니다.
그러면서 이 업체는 이번 사이버 공격의 주범이 2014년 한국수력원자력(한수원)을 해킹한 배후로 알려진 북한 해킹 조직인 김수키(kimsuky)로 추정된다고 밝혔습니다.
지난 2014년 한국의 정부합동수사단은 한국수력원자력 해킹 공격에 사용된 악성코드와 IP주소 등을 조사한 결과, 북한 해커 조직이 사용하는 것으로 알려진 킴수키 악성코드와 유사하다면서 접속 IP 중 5개가 북한 체신성에서 할당된 것이라고 발표한 바 있습니다.
이번 사이버 공격은 도널드 트럼프 미국 대통령과 김정은 북한 국무위원장이 오는 27일과 28일 베트남(윁남) 하노이에서 개최하는 정상회담 관련 문서파일을 미끼로 사용했다는 점에서 눈길을 끌고 있습니다.
이 업체에 따르면 이번 공격에 사용된 한글 파일은 ‘한미우호협회가’ 2차 미북 정상회담 결과에 관한 특별좌담회를 개최한다는 초청 내용이 담겨 있습니다. (사진)
이 악성코드가 담긴 한글문서 파일은 한국시간(KST) 기준으로 2019년 02월 21일 10시 45분(UTC+9)에 제작됐습니다.
이 업체는 이메일에 이 악성 한글문서 파일을 첨부해 공격 대상에 은밀히 전달하는 이른바 스피어피싱(Spear Phishing) 수법이 사용된 것으로 보고 있습니다.
스피어피싱 방식은 이메일을 받아 문서를 열람하면 자동으로 악성코드에 감염되는 방식으로, 평범한 문서 파일로 보이지만 원격 제어 악성코드가 숨겨져 있어 개인정보 유출시도 및 추가 악성코드 설치에 노출될 위험성이 높습니다.
아울러 문서를 여는 순간 악성코드에 감염되고 컴퓨터 내부에 있는 각종 파일과 정보를 원격지로 전송하기 때문에, 한 번 감염된 후에는 공격자 마음대로 컴퓨터를 제어하는 등 다양한 악성행위에 노출될 수 있습니다.
이와 관련 이 업체의 문종현 이사는 이번 APT 공격은 정부지원 공격자(State-sponsored Actor)가 진행한 최신 위협 사례로 ‘한미동맹 강화 및 우호증진’을 위해 활동하는 민간단체의 공식문서를 사칭한 점이 특징이라고 설명했습니다.
특히 문 이사는 “얼마 남지 않은 2차 미북 정상회담 결과에 관한 좌담회 초청내용을 담고 있어 통일, 외교, 안보 분야에 대한 정보수집 활동으로 추정된다”고 지적했습니다.
그러면서 “이번 공격은 얼마 전 있었던 한국 정부기관 사칭 해킹 이메일 사건과 통일부 출입 기자단 해킹 시도와도 직간접적으로 연결된다”고 밝혔습니다.
한편, 한국을 비롯한 미국, 이스라엘 등 세계 각국의 민간 컴퓨터 보안업체들은 잇따르고 있는 북한의 사이버 공격을 우려하고 있습니다.
실제 미국 정보 보안업체 크라우드스트라이크(CrowdStrike)는 19일 공개한 ‘2019 글로벌 위협 보고서’(2019 Global Threat Report)에서 북한 해커 능력이 러시아에 이어 두 번째로 뛰어나다고 지적했습니다.
아울러 이스라엘에 본부를 둔 다국적 사이버 보안 업체인 ‘체크포인트’ 산하 연구소(Check Point Research)도 19일 공개한 보고서에서 북한의 해킹 집단인 라자루스(Lazarus)가 처음으로 러시아 소재 기업들을 대상으로 사이버 공격을 감행했다고 밝혔습니다.