앵커: 미국과 영국의 다국적 방산업체의 문서로 위장한 해킹 시도가 포착됐습니다. 한국 내 민간 사이버 보안 업체는 북한 해킹 조직으로 알려진 '라자루스'가 그 배후에 있는 것으로 추정했습니다. 이경하 기자가 보도합니다.
한국 내 민간 보안업체인 안랩시큐리티대응센터(ASEC)는 8일 '라자루스 그룹(조직)의 방위산업체 대상 공격 증가'라는 보고서를 공개했습니다.
북한 해킹 조직인 '라자루스'는 2017년 5월 전 세계 150여 개국 30여 만대의 컴퓨터를 강타한 '워너크라이' 랜섬웨어 공격의 배후로 알려져 있으며, 지난 2018년 9월 미국 정부가 처음으로 해커 이름과 얼굴까지 공개한 북한 해커 박진혁이 소속된 조직입니다.
보고서는 미국과 영국의 방위산업체로 위장해, 특정 관계자의 정보를 노린 '지능형지속위협'(APT) 방식의 사이버 공격이 포착됐다고 8일 밝혔습니다.
보고서에 따르면 지난달 말부터 5월 현재까지 북한 해킹조직인 '라자루스'가 미국의 항공기제작업체이자 방위산업체인 '보잉'(Boeing)과, 영국의 '브리티시 에어로스페이스'(BAE)로 위장한 가짜 마이크로소프트 워드 문서를 보여주면서 정보 탈취를 시도하는 지능형지속위협(APT) 유형의 사이버 공격에 나섰습니다.
보고서는 '라자루스'가 이번 사이버공격에 '보잉'의 인사과(HR) 문서(Boeing_DSS_SE.docx)와 '브리티시 에어로스페이스'의 수석 디자인 엔지니어 문서(Senior_Design_Engineer.docx)를 사용했다고 지적했습니다.
이 문서들을 열람하면 자동으로 악성코드에 감염되는 방식으로, 평범한 문서 파일로 보이지만 원격 제어 악성코드가 숨겨져 있어 개인정보 유출시도 및 추가 악성코드 설치에 노출될 위험성이 높습니다.
이번 사이버 공격과 관련해, 보잉과 BAE사는 이번 지능형지속위협 공격에 대한 자유아시아방송(RFA)의 논평 요청에 8일까지 답변하지 않았습니다.
이런 가운데, 또다른 북한의 해킹조직인 '금성 121'가 미모의 여성 선임연구원으로 위장해 한국 내 북한 관련 업무 종사자들을 노리는 사이버 공격이 포착되고 있습니다.
'금성121'은 외교, 통일, 안보 분야 종사자나 북한인권운동가, 탈북민 등을 대상으로 정보탈취 활동을 벌이고 있는 해킹 조직입니다. 앞서 이 조직은 태영호 전 영국주재 북한대사관 공사의 손전화기를 해킹해 자료를 빼내기도 했습니다.
한국의 민간 컴퓨터 보안업체인 이스트시큐리티(ESTSecurity)는 8일 '금성121'이 한국 내 북한 관련 업무 종사자를 대상으로 한 지능형지속위협(APT) 공격을 확인했다고 8일 밝혔습니다.
이 업체에 따르면 해커는 먼저 대북분야에서 활동하는 주요 인사들을 선별하고, 이들에게 자신이 통일 정책분야의 기관에 새로 근무하게 된 미모의 여성 선임연구원처럼 사칭한 가짜 소개 이메일을 보낸 다음 한국의 대화 응용프로그램인 카카오톡으로 접근하고 있습니다.
그러면서 사이버 공격 대상자가 남성일경우에는 미모의 여성 사진과 이름으로 접근해, 소위 미인계 작전으로 현혹해 사이버 위협을 가하고 있다는 설명입니다.
이와 관련, 이스트시큐리티의 문종현 이사는 8일 자유아시아방송(RFA)에 "라자루스가 외국을 공격할 때는 주로 방산업체 분야를 노리고 있는 것으로 보이며, 금성121의 경우 대북관계자나 탈북민들 대상으로 집중 공격 중"이라고 밝혔습니다.
한편, 미국 워싱턴의 정책연구소인 민주주의수호재단(FDD)의 사이버 안보 전문가인 매튜 하 연구원은 자유아시아방송(RFA)에 북한의 사이버 공격 능력은 고도화됐고, 사이버 공격은 증거가 남지 않아 주범을 찾기가 상당히 어렵다고 지적했습니다.
매튜 하 연구원: 다른 많은 불량정권이 지원하는 해커와 마찬가지로 북한 해커들은 계정을 해킹하기 위해 여러가지 수법으로 접근하는 일에 매우 능숙합니다.