앵커 :북한이 배후에 있는 것으로 추정되는 해커 조직이 동유럽 국가를 대상으로 사이버 공격을 벌였을 가능성이 제기됐습니다. 김소영 기자가 보도합니다.
최근 수년간 전 세계적으로 북한 해커들의 사이버 공격이 급증하고 있는 가운데 이번에는 동유럽 국가들을 대상으로 사이버 공격을 시도한 정황이 포착됐습니다.
미국, 유럽 등에 사무소를 둔 국제 사이버 보안업체 ‘시큐로닉스(Securonix)’는 최근 사이트에 게재한 글에서 북한 해커조직인 ‘APT37’이 체코, 폴란드(뽈스까) 등 유럽 내 고부가가치 산업들을 대상으로 새로운 사이버 공격을 벌이고 있다고 밝혔습니다.
다만 공격대상에 대한 구체적인 정보는 공개하지 않았습니다.
이들 공격은 북한과 연루된 해커조직인 ‘APT37’이 배후에 있는 것으로 보이며, 공격자들은 북한 해커들이 자주 사용하는 악성 프로그램의 일종인 트로이목마(RAT), 콘니(Konni)를 사용한 것으로 파악됐습니다.
북한 해커들은 피해자를 속여 악성 첨부 문서를 열도록 하는 이메일(전자우편) 피싱 수법을 이용했습니다.
이메일 피싱(Phishing)은 합법적인 단체인 것처럼 위장한 해커가 악성코드가 담긴 첨부문서나 사이트 주소를 전송해 악성 프로그램을 실행시켜 상대방의 정보를 탈취하는 해킹 수법입니다.
이번 공격에서 사용된 첨부 파일은 러시아 종군기자가 보낸 보도자료처럼 꾸며졌습니다.
첨부문서에 있는 문서를 클릭하면 곧바로 악성 프로그램에 감염돼 해커가 피해자의 시스템에서 임의로 코드(부호)를 실행시켜 정보를 빼낼 수 있게 됩니다.
시큐로닉스는 그러나 북한의 ‘APT37’이 폴란드(뽈스까)와 체코 등 동유럽 국가들을 집중적으로 공격한 전례가 없다는 점을 언급하며, 러시아 당국이 배후에 있는 해커조직, APT28 혹은 팬시베어(Fancy Bear)가 북한 해커인 것처럼 위장해 공격에 나섰을 가능성도 제기했습니다.
러시아의 우크라이나 침공으로 폴란드 등 인근 유럽 국가들과 러시아의 관계가 악화됐다는 게 보고서의 설명입니다.
한편 2012년부터 활동을 시작한 것으로 추정되는 ‘APT37’은 그 동안 주로 한국의 공공 및 민간부문을 표적으로 공격을 감행해왔습니다.
그러나 2017년부터 ‘APT37’은 일본, 베트남(윁남), 중동 지역은 물론 화학, 전자, 제조, 항공우주, 자동차, 의료기관 등 다양한 산업군으로 해킹활동 범위를 확대했습니다.
올해 1월에는 ‘APT37’이 새로운 악성코드로 러시아 외무부를 공격한 정황이 드러나기도 했습니다.
기자 김소영, 에디터 양성원, 웹팀 이경하