앵커 :북한 해커 조직으로 추정되는 '코니'(Konni)라는 단체가 신년 연하장을 가장해 러시아 대사관에 대한 사이버 공격을 감행했다는 분석이 나왔습니다. 서재덕 기자가 보도합니다.
미국에 본사를 둔 다국적 사이버 보안 업체인 ‘더스크라이즈’(DuskRise)의 ‘클러스터25’(Cluster25)팀은 3일 자체 블로그를 통해 ‘새로운 버전의 악성코드로 러시아 외교 부문을 겨냥한 북한 그룹 코니’라는 제목의 보고서를 공개했습니다.
보고서는 신년 연하장으로 위장한 악성 압축파일을 미끼로 인도네시아 주재 러시아 대사관을 겨냥한 코니의 스피어 피싱 이메일을 지난달 20일 포착했다고 밝혔습니다.
그러면서 해당 이메일은 ‘@mid.ru’라는 계정을 통해 세르비아 주재 러시아 대사관에서 보낸 것처럼 위장됐다고 설명했습니다.
보고서는 이메일의 수신자가 인도네시아 주재 러시아 대사관이라고 명시했지만 수신자 전체에 대해선 언급하지 않았습니다.
보고서는 이어 악성 문서파일을 첨부하던 과거 코니의 행태와는 달리 이번 스피어 피싱에는 러시아어로 축하를 뜻하는 이름의 악성 압축파일이 첨부됐으며 이는 이번 공격을 위해 특별히 개발된 것으로 보이는 새로운 형태의 ‘원격 접속 트로이목마’(RAT)라고 진단했습니다.
이어 압축파일 내 실행파일을 열면 ‘즐거운 연말’(happy holiday) 테마의 러시아 화면보호기가 깔리면서 악성코드에 감염된다고 설명했습니다.
스피어 피싱 방식은 이메일을 받아 문서 등을 열람하면 자동으로 악성코드에 감염되는 방식으로, 평범한 파일로 보이지만 원격 제어 악성코드가 숨겨져 있어 개인정보 유출시도 및 추가 악성코드 설치에 노출될 위험성이 높습니다.
엠마뉴엘 드 루시아(Emanuele De Lucia) ‘클러스터25’ 국장은 4일 코니의 사이버 공격 의도를 묻는 자유아시아방송(RFA)에 기밀정보를 획득하고, 데이터의 기밀성을 손상시키는 등 디지털 상에서의 스파이(간첩) 활동을 목표로 한 작전을 지원하기 위한 것이라고 답했습니다.
그는 그러면서 적어도 지난해 8월까지만 거슬러 올라가도 이번 공격과 유사한 행위들에 대한 증거들이 있다고 언급하며 이는 러시아의 외교를 넘어 경제와 과학, 기술 분야도 잠재적 표적으로 삼는 광범위한 (공격) 캠페인의 일환임을 시사한다고 말했습니다.
지난 2017년 사이버보안업체 ‘시스코 탈로스’(Cisco Talos)를 통해 알려진 코니는 한국 내 대북 관계자와 암호화폐 관계자 등을 대상으로 ‘지능형지속위협’(APT) 공격을 수년 간 지속적으로 시도해온 조직입니다.
러시아와 중국 등 우방국을 대상으로 한 북한의 사이버 공격은 지속되고 있는 상황입니다.
미국 보안업체 프루프포인트(ProofPoint)는 지난해 11월 북한 해커조직인 ‘김수키’가 대북 문제를 다루는 러시아 과학자, 외교정책 전문가, 비정부기관을 공격했다고 지적했습니다.
미국의 인터넷 매체인 데일리비스트는 지난해 11월 미국 보안업체 크라우드스트라이크(CrowdStrike)의 연구자료를 인용해 북한 정권과 연관된 것으로 추정되는 해커 세력이 중국의 보안 연구원들의 기술을 훔치려 했다고 보도한 바 있습니다.
한편, 지난해 3월 발생한 영국 국방대학교(Defence Academy of the United Kingdom)에 대한 해킹 공격이 북한의 소행일 수 있다는 지적이 나왔습니다.
해킹 사건 발생 당시 영국 국방대 총장을 지낸 에드워드 스트링거(Edward Stringer) 예비역 공군 중장은 지난 2일 영국 스카이뉴스와의 인터뷰에서 북한과 중국, 러시아, 이란과 같이 해당 공격에 대한 역량을 가진 국가들의 소행으로 의심된다고 말했습니다.
기자 서재덕, 에디터 양성원, 웹팀 이경하