앵커: 한국 국가정보원이3일 공공분야 사이버 위기 경보를 '정상'에서 '관심' 단계로 상향한 가운데, 북한 해킹 조직 소행으로 추정되는 새로운 사이버 공격이 포착됐습니다. 이경하 기자가 보도합니다.
북한 당국과 연계된 것으로 알려진 해킹 조직 '탈륨'(Thallium)이 PDF 즉, 이동가능한 전자문서형식(Portable Document Format)의 취약점을 노린 공격을 감행하고 있는 것으로 나타났습니다.
3일 한국 내 민간보안 업체인 이스트시큐리티에 따르면, 새롭게 발견된 PDF 파일 취약점 공격은 지난 5월부터 현재까지 한국내 외교, 안보, 국방, 통일 분야 전·현직 종사자 등을 대상으로 하는 해킹 공격에 사용된 것으로 확인됐습니다.
이 업체는 이번 PDF 취약점 공격에 사용된 기술과 전략을 심층 분석한 결과를 바탕으로 북한 연계 해킹 조직으로 알려진 '탈륨'을 그 배후로 지목했습니다.
'탈륨'은 세계 최대 컴퓨터 소프트웨어 미국 기업인 마이크로소프트(MS)가 자신들의 인터넷 계정을 도용한 혐의로 미국 연방법원에 고소한 북한 해킹조직입니다.
특히 '탈륨'은 최근 한국원자력연구원, 핵융합연구원, 항공우주연구원 등을 공격한 '김수키'(Kimsuky)와 동일한 조직으로 알려져 있습니다.
이 조직은 최근까지 MS 워드 문서 파일(DOC, DOCX)을 악용하는 감염 기법을 주로 활용해왔으나, 최근에는 PDF 취약점을 활용하는 기법 변화를 시도한 것으로 나타났습니다.
'탈륨' 조직은 최근까지 한국 내 전·현직 장차관급 고위 정부 인사 등을 상대로 계속해서 해킹 공격을 시도해왔습니다.
실제로 2021년 한미 정상 회담 기간에도 외교·안보·통일 및 대북 분야 전문가를 상대로 워드 문서를 악용하는 방식의 해킹 공격을 시도한 것으로 확인됐습니다.
이와 관련, 이스트시큐리티의 문종현 이사는 3일 자유아시아방송(RFA)에 "이번 '탈륨' 조직은 한국내 전·현직 장차관급 유력인사와 함께 대북 연구 분야 고위 관계자를 집중적으로 노리고 있다"고 지적했습니다.
그러면서 "기존에 유행했던 악성 워드문서 형태와 더불어 PDF 취약점을 활용한 공격도 가세하고 있어, PDF 파일을 전자메일로 받을 경우 세심한 주의가 필요하다"고 강조했습니다.
국제 사이버보안 업체인 '파이어아이'(FireEye)의 벤 리드(Ben Read) 맨디언트 위협 인텔리전스 분석담당 디렉터(Director of Analysis, Mandiant Threat Intelligence)도 이날 자유아시아방송(RFA)에 "북한의 공격적인 사이버 프로그램은 일관되게 세계에서 가장 공격적인 프로그램 중 하나"라고 지적했습니다. (North Korea's offensive cyber programs are consistently one of the most aggressive in the world. )
특히 그는 북한 공격자들은 간첩 활동과 현금확보 임무에서 북한 정부를 지원하기 위해 혁신적인 전술을 반복적으로 시도하고 있다고 분석했습니다. (They have repeatedly deployed innovative tactics to support the North Korean state in espionage and financially motivated mission.)
그러면서 북한이 러시아와 중국만큼 기술적인 정교함을 가지고 있지는 않지만, 여전히 전세계의 조직들을 위태롭게 할 수 있으며, 많은 돈을 훔치는데 성공하고 있다고 지적했습니다.
이런 가운데 호텔 등에서 제공하는 무료 와이파이(Wi-Fi), 즉 무선통신을 통해 북한 해커들이 사이버 공격을 감행할 수 있다고 지난달 27일 미국의 외교전문지 '더 디플로맷'(The Diplomat)이 보도했습니다.
이 매체는 무료 와이파이는 예측가능한 비밀번호이거나 보안에 취약하기 때문에 북한 사이버 공격자들이 이를 악용해 사이버 공격을 수행할 수 있다고 지적했습니다.
한편, 한국 국가정보원은 최근 국내 사이버 위협 상황을 반영해, '공공분야 사이버 위기 경보'를 3일 9시 정각을 기준으로 '정상'에서 '관심' 단계로 상향했습니다.
앞서, 한국 국회 정보위원회 소속의 하태경 국민의힘 의원은 지난달 1일 한국 국회 기자회견을 통해 한국의 여러 핵심 국가기관과 방산업체 및 안보기관에 대한 북한의 소행으로 추정되는 해킹 시도가 있었다며, 국가 사이버테러 비상사태를 선포해야 한다고 밝힌 바 있습니다.
하태경 국민의힘 의원: 이것은 마치 천안함 폭침, 연평도 포격 사건과 똑같은 상황입니다. 사이버 공격이라 우리 눈에 보이지 않을 뿐, 대한민국 국가안보와 국가이익에 끼치는 손해, 위협이 심각하고 중대한 사안입니다.
기자 이경하, 에디터 이상민, 웹팀 김상일