北해커 ‘좀비 PC’ 악성코드 對北 단체에 대량유포

최근 해킹 프로그램이 첨부돼있는 것으로 추정되는 전자우편(이메일)이 대북 전문가를 비롯해 북한인권 단체 간부들에게 대량 전송되고 있는 것으로 파악됐다. 전자우편 제목을 한국 사회에서 잘 알려진 대북 전문가나 연구소 명의로 전송되고 첨부된 파일을 열어볼 경우, 악성코드가 깔려 PC 내 정보가 유출될 수 있다.


잘 알려진 대북 전문가 명의로 전송돼 메일을 받은 일부 인사들은 무심코 파일을 열어보는 경우가 종종 있는 것으로 알려졌다. 파일을 열게 되면 ‘좀비 PC’로 만드는 악성코드가 자동으로  깔리게 되고 악성코드 배포자는 PC 내 자료 등을 무단으로 유출시킬 수 있다. 


파일을 열어본 당사자들은 PC 성능이나 프로그램에는 영향을 미치지 않기 때문에 포맷이나 전문가의 수리를 받지 않고 PC를 그대로 사용해 피해를 키울 수 있다. 또한 PC 내 자료뿐 아니라 외부 사람들과의 이메일을 통해 주고 받는 자료도 유출될 수 있기 때문에 자료 백업 후 포맷을 반드시 해야 한다고 전문가들은 조언했다.


특히 대북 전문가들은 이번 악성코드 메일의 IP주소는 중국이지만 북한의 소행을 가능성이 높다고 지적했다. 북한 해커들이 중국에서 악성코드 메일을 대거 보내고 있다는 지적이다.


북한민주화위원회 서재평 국장은 13일 데일리NK에 “얼마 전부터 고려대 교수와 세종연구소 이름 등으로 북한 정보 관련 메일이 지속적으로 왔다”면서 “개인 컴퓨터에서 열어보지 않고 PC방에 가서 열어보니 내용은 없어 수상하다고 생각했다”고 밝혔다.


이어 서 국장은 “사이버 경찰 수사대에 문의해 보니 IP는 중국으로 나왔다”면서 “첨부파일은 열리지도 않아 북한에서 보내는 해킹 파일로 의심했다”고 덧붙였다.


한 대북 전문가도 “최근 정성장 세종연구소 수석연구위원 이름으로 ‘김정은 능력 평가’라는 파일이 첨부된 메일을 여러차례 받았다”면서 “평소 정 연구위원으로부터 북한 관련 자료를 받고 있기 때문에 별 생각없이 열어 봤지만 파일 내용이 없었다”고 말했다.


이 전문가가 받은 이메일(주소 joshuan09@daum.net‘) 제목은 ‘김정은 능력 평가’였고 “안녕하세요. 세종연구소 정성장입니다. 김실장님이 전번에 요구하신 2013년도 김정은 실제 영향력에 관한 자료 보내드립니다. 수고하십시요”라는 내용이 기재돼 있었다. 


정 수석연구위원은 이날 “joshuan09@daum.net는 본인이 사용하는 이메일 주소가 아니고 기가 막힌 사실은 내 이름을 도용한 해킹 메일이 나에게까지 보내지고 있다”면서 “첨부 파일은 절대로 열어서는 안 되며, 만약에 열었다면 컴퓨터를 포맷해야 한다. 그렇지 않으면 컴퓨터로 입력하는 모든 내용들과 컴퓨터 모든 파일들이 해커에게 넘어가게 될 것”이라고 강조했다.


전문가들에 의하면, 특정 집단이나 정부의 주요 문서, 정보, 임무를 담당하는 실무자를 찾아낸 다음 그 사람의 성향, 취향을 분석해 ‘신뢰할만한’ 이메일로 가공, 포장해 해킹 대상자에게 이메일을 보낸다. 보낸 이메일 속에는 지능형 지속(Advanced Persistent Threat, APT) 해킹 파일이 담겨 있다. 북한이 2011년 농협전산망과 2012년 중앙일보를 APT 방식을 통해 해킹을 시도했던 만큼, 이번 해킹도 북한의 소행일 가능성이 높다는 것이 전문가들의 관측이다.


유동열 치안정책연구소 선임연구관은 “3년 전 자유민주연구학회 회원들에게 회장인 내 이름으로 메일이 발송돼 회원 전체 PC가 해킹당하는 사태가 벌어졌다”면서 “최근에도 통일부와 국방관련연구소 등의 유명한 인사 이름으로 ‘남북관계 비교현황’ 등의 이메일 발송도 지속되고 있다”고 말했다.


이어 유 선임연구관은 “북한은 이런 종류의 이메일 발송으로 남측에 좀비 PC를 확보하려는 의도를 보이고 있는 것”이라면서 “이런 좀비 PC를 통해 남측의 주요 정보를 빼내고 특정 인사의 동선을 확보하려는 움직임으로 읽혀진다”고 덧붙였다. 그러면서 “6·25 청와대 해킹처럼 정부 공공망 공격을 준비할 수도 있다”고 내다봤다.    


이와 관련 정부 관계자는 “북한의 소행으로 의심되는 사이버 테러에 대응하기 위해 노력하고 있지만 한계가 분명하다”면서 “파일을 열어본 경우 개인적 차원에서 반드시 포맷을 하고 수상한 이메일을 열어보지 말아야 한다”고 말했다.


한편 국내의 정보보안 업체 하우리는 12일 북한 소속으로 추정되는 해커 조직이 2011년부터 3년간 국가 주요 기관과 연구 기관을 상대로 이메일에 악성코드가 담긴 한글 문서 파일이나 행사 초청장을 보내는 식으로 정보수집을 위한 사이버 첩보 활동을 해왔다고 밝혔다. 


업체는 악성코드에 사용된 암호화 기법은 기존에 북한의 소행으로 알려진 악성코드와 상당히 비슷하고, 악성코드 개발 경로와 이메일 명령어에 한글이 사용됐다면서 이메일 명령제어를 맡은 해커 조직 관리자의 IP도 국내에서 북한 김정일 일가를 찬양하는 글을 올린 IP와 일치한다고 설명했다.