지난 18일 문재인 대통령에게 북한 인권 문제를 직시하라는 공개서한을 보냈던 비영리단체(NGO)에 대한 피싱(phishing) 시도가 있었던 가운데 배후에 북한 추정 해커가 있는 것으로 나타났다.
앞서 전환기정의워킹그룹(TJWG)은 권은경 북한반인도범죄철폐국제연대(ICNK) 사무국장 명의를 도용해 피싱 이메일이 이 단체 대표에게 발송됐다고 밝힌 바 있다. 이들은 모두 지난 16일 문 대통령에 공동서한을 보낸 단체들이다. 공동서한을 보낸 지 이틀 만에 관련 내용을 이용한 피싱 시도가 발생한 것이다.
피싱 이메일을 분석한 문종현 이스트시큐리티 시큐리티대응센터(ESRC) 이사는 20일 데일리NK와의 통화에서 “이번 피싱 시도는 북한인권 NGO 관계자들의 이메일 계정을 탈취하기 위한 것”이라면서 “과거 피싱 이메일들과 비교·분석했을 때 김수키(Kimsuky)의 소행으로 추정된다”고 말했다.
김수키는 지난 2014년 한국수력원자력 해킹을 주도한 조직으로, 당시 합동수사본부는 배후에 북한이 있다고 발표한 바 있다.
문 이사는 “이번 공격에서 악성코드가 아닌 단순히 피싱 사이트를 이용했기 때문에 관련 조직을 정확하게 특정하기는 어렵다”면서도 “피싱 이메일 발송 인터넷 주소(IP)가 김수키가 그동안 사용해왔던 가상사설망(VPN) IP 대역과 정확하게 일치하는 부분이 있다”고 설명했다.
이어 그는 “또한 기존 김수키 조직이 사용하던 이메일 계정과 유사성이 상당히 높다”고 덧붙였다. 다만 문 이사는 “보다 정확하게 하기 위해서는 추가적인 조사가 더 필요하다”고 말했다.
또한, 해커가 과거 다른 대북단체 관계자에게 보낸 이메일 내용 중에는 한국에서는 잘 사용하지 않는 북한식 언어표현이 사용된 것으로 조사됐다.
문 이사는 “이번 피싱 이메일을 보낸 해커가 과거에 다른 사람에게 보냈던 이메일에 북한에서 사용하는 단어가 있다”며 “북한말에 익숙한 해커의 소행으로 분석된다”고 설명했다.
실제, 과거 해커가 다른 사람에게 보낸 피싱 이메일 내용 중에 ‘서류를 인츰 보내드리겠습니다’이라는 표현이 있다. ‘인츰’은 ‘이내’, ‘곧’이라는 의미의 북한 지방 방언이다.
이어 그는 “이번에 사용된 해외 서버는 처음 목격된 형태이다”며 “공격자가 기존에 사용하던 요소를 최대한 줄여 자신과 관련한 정보가 노출되는 것을 방지하기 위해 신경을 쓴 것으로 보인다”고 덧붙였다.
한편, 피싱 이메일의 첨부파일을 클릭하면 외국의 북한 인권 단체로 위장된 사이트로 연결되는 것으로 조사됐다.
ESRC에서 분석한 자료에 따르면 피싱 이메일의 첨부파일을 클릭하면 미국의 북한 인권단체 디펜스포럼(Defence forum) 홈페이지로 위장된 피싱 사이트로 연결된다. 연결된 피싱 사이트는 로그인을 해야 한다는 명목으로 사용자의 이메일 계정과 비밀번호를 요구한다.
이곳에 이메일 계정과 비밀번호를 입력하면 관련 정보가 해커에게 전달되며 사용자에게는 공동서한 관련 내용이 표시된다. 이는 정상적인 사이트인 것처럼 위장해 사용자가 해킹을 당했다는 사실을 모르게 하려는 해커의 전략 중 하나이다. 향후 추가 공격을 염두에 둔 것으로 관계자들의 각별한 주의가 필요하다.
