앵커 : 한국 내 보안업체, 이스트시큐리티가 국립외교원 산하 외교안보연구소를 사칭한 북한의 해킹 시도를 포착했다고 밝혔습니다.
서울에서 목용재 기자가 보도합니다.
북한이 한국 외교부 홈페이지 공지사항에 올라와 있는 ‘2022 외교안보연구소(IFANS) 국제문제회의 개최’라는 게시물에 첨부된 초청장 이미지를 도용해 해킹 공격을 시도한 정황이 포착됐습니다.
한국 내 민간 보안업체인 이스트시큐리티는 최근 보도자료를 통해 이번 공격에 활용된 온라인상의 경로가 최근 북한의 소행으로 알려진 해킹 사건들과 동일하다고 밝혔습니다.
북한은 이번에 국제문제회의 초청장으로 관심을 유발해 공격 목표의 구글 계정을 탈취하려 했다는 게 이스트시큐리티의 설명입니다. 구글은 미국의 온라인 검색 및 전자우편 등의 서비스를 제공하는 업체입니다.
이번 공격은 북한이 한국 외교부 산하 연구기관이 주최하는 실제 학술회의 일정을 활용해 공격 대상자들의 개인정보 등을 탈취하려 시도했다는 점이 특징입니다. 북한 해킹 공격의 목표가 됐던 대상들은 외교, 안보, 국방 분야 등에 종사하는 연구자들이었던 것으로 파악되고 있습니다.
이스트시큐리티에 따르면 이번 공격은 두 단계에 걸쳐 이뤄졌습니다.
1차적으로 외교안보연구소 사칭 전자우편 내의 초청장 이미지를 클릭할 경우 일반적인 설문으로 위장된 화면이 출력돼 여기에 성명, 소속, 직위, 전자우편 주소, 연락처 등의 기본적인 개인정보 기입을 유도합니다.
위장된 설문지의 주소는 ‘docxooqle.epizy.com’으로 실제 웹사이트 주소인 ‘docs.google.com’과 유사합니다.
설문지 작성이 완료되면 2차적으로 공격 목표가 구글의 계정과 비밀번호를 입력하도록 유도해 계정 탈취를 시도합니다.
이스트시큐리티는 북한이 기본적인 개인정보를 좀 더 용이하게 탈취하기 위해 이 같이 정보 탈취의 단계를 나누어 놓은 점에 주목했습니다. 또한 개인정보 탈취를 위해 활용된 화면이 영문으로 쓰여져 있었다는 점에서 영문 활용에 친숙한 인물들이 주된 공격 대상이었을 것으로 분석하고 있습니다.
문종현 이스트시큐리티 이사는 자유아시아방송과의 통화에서 “1차적으로 정보를 탈취한 뒤에 계정 탈취 시도가 있었다는 점이 특이하다”며 “설문을 통해 획득한 전화번호, 전자우편 등 기본적인 개인정보는 향후 추가적인 해킹에 활용될 가능성이 높다”고 지적했습니다.
이어 문 이사는 “올해 하반기에도 북한 소행으로 지목된 사이버 안보 위협 수위가 지속적으로 높게 유지되는 추세”라며 한국인터넷진흥원(KISA) 등 한국 내 관련 부처들과 긴밀히 협력해 대응하고 있다고 밝혔습니다.
한편 앞서 한국 외교부는 지난 21일 ‘글로벌 중추국가의 비전과 외교전략’이라는 주제의 토론회를 내달 4일 개최한다는 공지를 올린 바 있습니다. 이 행사에는 전현직 장관급 인사들이 참여할 예정입니다.
한국 외교부는 국립외교원 외교안보연구소를 사칭한 해킹 시도가 있다는 정황을 인지하고 27일 홈페이지에 피싱 전자우편에 유의하라는 안내를 올렸습니다.
기자 목용재, 에디터 오중석, 웹팀 김상일