앵커 : 북한의 해킹 조직이 새로운 악성 프로그램을 이용해 한국, 미국 등에서 이메일, 즉 전자우편 내용을 탈취했다는 분석이 나왔습니다. 자민 앤더슨 기자가 보도합니다.
미국의 사이버 보안 업체 ‘볼렉시티(Volexity)’는 28일 북한의 해킹 조직 ‘샤프텅(SharpTongue)’이 인터넷 브라우저(인터넷 탐색용 프로그램)에 악성 확장프로그램 ‘샤펙스트(SHARPEXT)’를 설치해 이메일(전자우편) 내용을 훔쳤다는 보고서를 공개했습니다.
보고서에 따르면 샤프텅이 목표로 삼은 대상은 미국, 유럽, 그리고 한국에서 북한 핵 문제나 무기 체계 등을 다루는 사람들입니다.
샤펙스트 악성 프로그램은 크롬, 엣지, 웨일 3개의 브라우저에서 구글 쥐메일과 AOL 전자우편 계정에 접근 가능한 것으로 알려졌습니다.
크롬, 엣지, 웨일은 순서대로 미국의 구글, 마이크로소프트, 그리고 한국 네이버 사에서 제공하는 인터넷 브라우저로, 스탯카운터(Statcounter)라는 통계 업체에 따르면 지난 6월 기준으로 이 3개 브라우저의 세계 점유율 합산은 70퍼센트가 넘습니다.
보고서 따르면, 샤펙스트는 개개인의 브라우저 보안 설정 파일을 수정해야 설치할 수있어 절차가 매우 번거롭지만, 이 악성 프로그램은 의심스러운 활동을 경고하는 메시지 창을 숨기고, 계정 접속 내역에 기록을 남기지 않기 때문에 감지하기가 더 어렵습니다.
그로 인해 샤프텅이 많은 피해자들에게서 수천개의 전자우편 내용과 첨부파일을 훔치며 성공적으로 활동을 수행할 수 있었다고 볼렉시티는 밝혔습니다.
미국의 안보 관련 민간연구소 ‘발렌스 글로벌(Valens Global)’에서 근무했던 매튜 하(Mathew Ha) 전 연구원은 이 해킹의 배후에는 북한 당국이 있을 확률이 높다고 말했습니다.
매튜 하 전 연구원 :북한은 (해킹을 통해) 목표로 정한 대상의 정보를 수집하는데 이를 통해 미국이나 한국과 같은 적대국들을 이해하기도 합니다. 또 이런 나라들이 북한과 관련해 어떤 연구를 하고 있는지에 대해서도 정보를 얻습니다.
샤프텅은 확장 프로그램을 사용한다는 점에서 대표적인 북한의 정찰총국 산하 해킹 조직 킴수키(Kimsuky)와 비슷합니다.
그러나 아이디와 비밀번호를 수집하는 대신, 악성 프로그램이 이미 로그인 되어있는 전자우편 계정에 접근해 직접 내용과 첨부파일을 사찰하고 유출한다는 차이가 있습니다.
볼렉시티는 이날 보고서에서 지난 9월에 처음으로 샤펙스트 확장 프로그램을 발견했다고 덧붙였습니다.
앞서 미 국무부는 지난 27일 미국의 주요 기반 시설에 대해 사이버 공격을 가하는 ‘킴수키(Kimsuky)’, ‘라자루스(Lazarus Group)’, ‘블루노로프(Bluenoroff)’ 등 북한 해킹 조직에 대한 정보 제공자에게 1,000만 달러라는 거액의 포상금을 지급한다며 신고를 독려하기도 했습니다.
기자 자민 앤더슨, 에디터 양성원, 웹팀 이경하