마이크로소프트, 북 해킹조직 상대로 궐석재판 요청

워싱턴-이경하 rheek@rfa.org

0:00 / 0:00

앵커: 미국의 다국적 기업인 마이크로소프트(MS)사가 미국 정부 고위 관리 등을 상대로 사이버 공격을 벌인 북한 추정 해킹 조직 '탈륨'을 상대로 궐석재판을 요청했습니다. 이경하 기자가 보도합니다.

지난해 12월 마이크로소프트 측은 북한 해킹 조직으로 추정되는 '탈륨'(Thallium)을 미국 공무원과 연구원 등을 공격했다며 미국 버지니아주 동부 연방법원에 고소했습니다.

한국과 미국 사이버보안 업계는 '탈륨'의 정확한 규모나 실체 등은 알려지지 않았지만, 북한 당국이 배후에 있다고 분석하고 있습니다.

특히 한국과 미국 사이버보안 업계에 따르면, 2010년 활동을 시작한 '탈륨'은 미국 뿐 아니라 한국 내 방위 산업체를 포함해, 대북 연구 분야 종사자와 탈북민, 북한 관련 취재기자를 집중적으로 공격하는 북한 추정 해킹 조직입니다.

자유아시아방송(RFA)이 26일 입수한 '마이크로소프트의 궐석재판 요청서'(Microsoft's request for entry of default)에 따르면, 원고 마이크로소프트 측 변호인은 25일 피고 무명남1, 2(John Does 1-2), 즉 '탈륨'을 상대로 궐석재판 요청서를 재판부에 제출했습니다.

궐석재판에서 피고인이 법정에 출두하지 않거나 또는 답변서를 제출하지 않을 때, 판사는 즉시 원고에게 구제 방법을 부여하는 명령이나 판결을 내릴 수 있습니다. 만약 원고가 법정에 출두하지 않을 경우, 판사는 사건을 기각할 수도 있습니다.

궐석재판 요청서에 따르면 원고 마이크로소프트가 피고 '탈륨'에게 이미 수차례 소환장을 보냈고, 이를 원고 '탈륨'이 확인했음에도 아무런 후속 조치를 취하지 않았습니다.

마이크로소프트 측 변호인은 '탈륨'이 사용한 전자우편 주소에 직접 소환장을 보내기도 했으며, 공개적으로 자체 웹사이트를 통해 공지하는 등 많은 노력을 했다면서 궐석재판의 당위성을 강조했습니다.

‘마이크로소프트의 궐석재판 요청서'에 따르면, 원고 마이크로소프트 측 변호인은 전자우편 수신확인 서비스를 통해 피고 ‘탈륨' 측이 전자우편을 여러 시간대에 반복적으로 열고 확인한 사실을 확인했다.
‘마이크로소프트의 궐석재판 요청서'에 따르면, 원고 마이크로소프트 측 변호인은 전자우편 수신확인 서비스를 통해 피고 ‘탈륨’ 측이 전자우편을 여러 시간대에 반복적으로 열고 확인한 사실을 확인했다. (/RFA PHOTO)

전자우편 수신확인 서비스를 통해, 피고 '탈륨' 측이 전자우편을 여러 시간대에 반복적으로 열고 확인한 사실을 확인했다는 지적입니다.

그러면서 마이크로소프트 측은 피고 '탈륨'이 민감한 정보와 지적 재산권을 훔치는 등 사이버 범죄에 사용한 전자우편 주소에도 수많은 소환장을 보냈지만, 이에 응답하지 않았다고 지적했습니다.

또 원고는 지난 6개월 동안 피고들의 신원을 얻기 위해 6개의 도메인 등록기관과 호스팅 회사 6곳에 소환장을 송달했으며, 피고의 신원에 대한 추가 정보를 얻기 위해 응답을 기다려왔다고 강조했습니다.

그러면서 마이크로소프트 측 변호인은 여러 노력의 결과로 피고 '탈륨'이 탈취한 이름, 주소, 신용카드 번호를 발견했다고 밝혔습니다.

또 피고 '탈륨'이 가상화폐인 비트코인을 통해 수많은 결제를 했다고 지적하며 탈륨이 여전히 사이버 범죄를 지속하고 있다고 주장했습니다.

앞서, 마이크로소프트 측이 지난해 12월18일 제출한 소장에 따르면 '탈륨'은 미국 버지니아주에 등록된 인터넷 주소를 사용했습니다.

마이크로소프트 측에 따르면 '탈륨'은 인터넷에 연결된 컴퓨터를 이용해 미국 정부 기관과 대학직원, 연구기관, 인권평화 단체 관계자들, 그리고 핵 확산 문제와 관련해 일하는 전문가들의 신상을 노리거나 훔쳤습니다.

아울러 '탈륨'이 '스피어 피싱'이라는 방식을 이용해 전자우편을 통해 비밀번호와 다른 민감한 정보를 빼내려고 했다고 밝혔습니다.

'스피어 피싱' 방식은 이메일을 받아 문서를 열람하면 자동으로 악성코드에 감염되는 방식으로, 평범한 문서 파일로 보이지만 원격 제어 악성코드가 숨겨져 있어 개인정보 유출시도 및 추가 악성코드 설치에 노출될 위험성이 높습니다.

또 마이크로소프트의 공식 웹사이트인 것처럼 보이는 가짜 웹사이트로 이용자들을 현혹시켜 '아기상어'(BabyShark)나 '김정랫'(KimJongRAT)라는 이름의 악성코드도 감염시킨 것으로 드러났습니다.

이런 가운데, '탈륨'이 최근 한국의 대기업 삼성전자를 사칭해 대북 분야 종사자들에게 전자우편 피싱 공격을 가하고 있는 것으로 알려졌습니다.

이에 대해 한국의 민간 보안업체 이스트시큐리티(ESTsecurity) 시큐리티대응센터(ESRC) 문종현 이사는 자유아시아방송(RFA)에 "북한과 연계된 사이버 위협은 매우 오래된 역사를 가지고 있으며, 국제적으로 대북관련 분야에서 종사하는 많은 사람들이 주요 표적이 되고 있다"고 밝혔습니다.

특히 그는 '탈륨'이 대북 경제제재나 인권문제 등을 다루는 여러기관 소속 전문가들을 상대로 '스피어 피싱' 공격을 계속 늘리고 있다고 지적했습니다.