앵커 :북한 해킹 조직이 북한 김정은 총비서를 비판한 언론사를 상대로 해킹 공격을 감행했다는 분석이 제기됐습니다. 지정은 기자가 보도합니다.
미국 보안업체 ‘프루프포인트’(ProofPoint)는 최근(14일) 북한을 비롯해 중국과 이란, 튀르키예(터키)의 해커들이 지난해 초부터 기자와 언론사를 대상으로 빈번하게 해킹 공격을 감행하고 있다고 밝혔습니다.
이 업체는 보고서에서 국가의 이익을 위해 활동하는 ‘지능형지속위협’(APT) 해커들이 기자와 언론사를 공격하거나 혹은 이들로 위장해 피해자들을 공격했다고 지적했습니다.
구체적으로 북한 연계 해킹 조직인 ‘라자루스’는 올해 초 미국에 본부를 둔 언론사를 상대로 취업 기회와 관련된 내용으로 위장한 이메일(전자우편)을 보냈습니다.
보고서는 이 언론사가 북한 김정은 총비서에 대한 비판적인 기사를 게시한 후 라자루스의 공격 대상이 됐다며, 이러한 비판은 북한 연계 해킹 조직의 공격 동기로 잘 알려져 있다고 설명했습니다.
보고서에 따르면 라자루스는 각 수신인 별로 맞춤화된 인터넷 주소(URL)를 보내 피해자의 정보를 수집했습니다.
피해자가 이 인터넷 주소를 누르면 유명한 구인 사이트를 가장한 웹사이트에 접속하게 되고, 이 과정에서 해킹 조직은 자신의 이메일이 전달됐는지, 피해자가 해당 인터넷 주소를 이용했는지 확인했습니다.
또 해커들에게 피해자의 기기에 대한 식별 정보도 전송돼 이들이 공격 대상을 추적하는 것도 가능해졌습니다.
보고서는 하지만 라자루스가 이처럼 정보 수집을 위해 피해자에게 이메일을 보낸 이후 후속 이메일을 보냈는지는 확인하지 못했다고 밝혔습니다.
다만 라자루스는 일반적으로 악성코드가 담긴 첨부 문서를 이메일로 보내 공격하기 때문에, 정보 수집 이후 실제 공격을 시도했을 것으로 추정했습니다.
보고서는 올해 초 이뤄진 이번 공격이 지난 3월 미국 정보통신 기업 구글의 위협분석그룹(TAG)이 분석한 ‘드림잡 작전’(Operation Dream Job)과 공통된 침해지표, 즉 공격 흔적을 보였다고 전했습니다.
‘드림잡 작전’이란 라자루스가 구인공고를 미끼로 이메일을 보내 수신자가 악성코드가 첨부된 파일 등을 열도록 유인하는 사이버 공격 수법입니다.
보고서는 “언론사에 대한 지능형지속위협 해커들의 관심은 시들지 않을 것”이라며 특히 해킹 조직은 기자의 이메일 계정을 해킹해 정보원의 신원이나 민감한 소식 등을 알아낼 수 있다고 지적했습니다.
또 선전(propaganda) 및 허위 정보를 유포하거나 정치적 여론에 영향을 주는 데 기자의 이메일을 사용할 수 있다고 설명했습니다.
이어 가장 일반적으로는 해커들이 기자를 공격해 첩보(espionage) 활동을 펼치거나 다른 정부, 회사 등의 내부 정보를 얻기도 한다고 전했습니다.
보고서는 그러면서 중국이나 북한에 대한 기사를 쓰는 기자는 향후 해킹 조직의 공격 대상이 될 수 있다고 덧붙였습니다.
기자 지정은, 에디터 양성원, 웹팀이경하