앵커: 북한 해커가 이용하는 인터넷사회연결망 페이스북 계정이 발견됐습니다. 북한 해커는 이 계정으로 탈북민과 대북 단체를 상대로 사이버공격을 감행한 것으로 확인됐습니다. 이경하 기자가 보도합니다.
북한 해커가 사용하는 것으로 추정되는 계정의 자료를 자유아시아방송(RFA)이 확보해 한국 내 민간보업업체 이스트시큐리티에 분석을 의뢰한 결과, '꿈의천사'라는 계정(https://www.facebook.com/paul.jogari)이 북한 해커가 사용하는 계정으로 2일 확인됐습니다.
'꿈의천사'는 지난달 31일 호주(오스트랄리아) 시드니 '북한 개혁교'에서 목사로 근무를 하고 있다며 신분을 위장하고 있습니다.
특히 '꿈의천사'는 지난해 4월 등록된 프로필 사진에서 한국의 국회의원 사진을 무단으로 도용했고, 지난 3월25일 캐리커처(만화) 사진, 최근에는 특정 개인의 사진을 무단으로 사용했습니다.
이 업체에 따르면 시드니의 목사로 위장한 '꿈의천사'는 탈북민과 대북 관련 단체들에게 접촉해, 북한 이탈주민 후원 모금 서비스로 위장한 사이트로 현혹시키고, 악성앱(APK)을 유포한 사실도 드러났습니다.
'꿈의천사'는 탈북민이나 대북관련 단체장들에게 의도적으로 접근해 신뢰 관계를 만들려고 시도했습니다. 보통 페이스북 대화를 통해 개인별로 접촉하고, 공격 대상과 신뢰관계를 만든 후 악성파일을 보내 감염시키고 있습니다.
특히 ‘꿈의천사’와 익명의 피해자 간의 대화 자료를 조사한 결과, 북한식 표현 ‘되여’, ‘인차’ 등을 사용했습니다.
2일 현재 ‘꿈의천사’ 계정은 여전히 활성화돼 있으며, 페이스북 친구가 535명으로 이 중 대부분이 탈북민과 대북단체 뿐만 아니라 심지어 언론 및 정치인도 포함돼 있어 주의가 요구되고 있습니다.
이와 관련, 한국 내 북한인권단체인 ‘노체인’의 정광일 대표도 1일 인터넷 사회연결망 페이스북을 통해 ‘꿈의천사’가 북한 해커라고 밝혀 탈북민 사회에서 큰 화제가 되고 있습니다.
이스트시큐리티 시큐리티대응센터(ESRC) 문종현 이사는 “이번 페이스북을 통한 개인화된 맞춤형 해킹은 지난 2019년 하반기에 진행된 드래곤 메신저 ‘지능형지속위협’(APT) 공격의 연장선으로 볼 수 있다”고 밝혔습니다.
그러면서 문종현 이사는 "당시 정부후원을 받은 해킹조직 일명 '금성121'이 위협 배후에 있는 것으로 분석됐다"며 "이들은 안드로이드 스마트폰 해킹부터 개인 컴퓨터까지 매우 광범위한 해킹을 시도하고 있다"며 각별한 주의가 필요하다고 당부했습니다.
'금성121'은 외교, 통일, 안보 분야 종사자나 북한인권운동가, 탈북민들을 대상으로 정보탈취 활동을 벌이고 있는 해킹 조직입니다. 앞서 이 조직은 태영호 전 영국주재 북한대사관 공사의 손전화기를 해킹해 자료를 빼돌린 바 있습니다.
이런 가운데, 북한의 대표적인 해킹조직으로 알져진 '라자루스'도 한국의 'n번방' 사건과 '코로나19'에 대한 관심이 높은 사회적 분위기를 이용해 사이버 공격을 감행하는 것으로 알려졌습니다. 한국의 'n번방' 사건은 미성년자 등의 불법 성착취 영상물이 인터넷사회연결망인 텔레그램을 통해 유포된 사건입니다.
이스트시큐리티에 따르면 2일 북한 추정 해커가 'n번방'과 관련해 허위로 된 '참고인출석요구서'(사진5)와 인천광역시 감염병관리지원단을 사칭해 동선을 요구하는 전자우편을 보내 해킹을 시도하는 스피어피싱(Spear Phishing) 수법이 잇따르고 있습니다.
스피어피싱 방식은 이메일을 받아 첨부된 문서를 열람하면 자동으로 악성코드에 감염되는 방식으로, 평범한 문서 파일로 보이지만 원격 제어 악성코드가 숨겨져 있어 개인정보 유출시도 및 추가 악성코드 설치에 노출될 위험성이 높습니다.
한편, 미국 국무부 대변인실은 2일 자유아시아방송(RFA)에 "다른 글로벌 조직과 마찬가지로 국무부는 사이버 공격의 끊임없는 대상"이라고 밝혔습니다.
미국 국무부는 최근 코로나19 상황으로 북한 추정 사이버 공격이 증가하고 있다는 지적에 대한 자유아시아방송(RFA)의 논평요청에 이같이 밝혔습니다.
그러면서 국무부 대변인실은 "국무부는 항상 사이버 보안 위협을 식별하고 어떠한 위협에도 대응하기 위한 조치를 취하고 있다"고 강조했습니다.