남북이 8월 광복절을 계기로 이산가족 상봉 행사를 진행하기로 한 가운데, 북한 해커의 소행으로 추정되는 관련 피싱 이메일이 유포됐다. 최근 이슈인 이산가족상봉을 매개로 한 공격이라는 점에서 각별한 주의가 요구된다.
데일리NK가 파악한 바에 따르면, 해커는 3일 ‘통일부 이산가족정보통합시스템(RSS) 업무담당자입니다’는 제목의 이메일을 유포했으며 탈북민·북한인권단체 관계자 등 특정인 대상으로 정보탈취를 위한 목적으로 한 ‘스피어 피싱(Spear phishing)’ 공격으로 파악됐다.
‘작살로 물고기를 잡다’는 뜻에서 유래가 된 스피어 피싱은 특정 대상을 목표로 하는 해킹 공격방법으로 공격 대상이 흥미를 끌만한 이메일 등을 보내 공격대상의 클릭을 유도하고 컴퓨터를 감염시킨다. 해커는 악성코드에 감염된 컴퓨터로 민감한 정보들을 탈취하거나 감염된 컴퓨터를 추가적인 공격의 발판으로 삼는다.
특히 전문가들은 이번 공격이 이메일을 보낸 방식, 시기 등의 면에서 이전보다 더욱 정교해진 모습이라고 지적한다.
기존의 이메일 공격은 ‘한글파일(HWP)’을 첨부해 보내 사용자에게 클릭을 유도했으나 이번 공격은 보안메일로 위장된 ‘HTML 파일’을 열면 ‘HWP’ 파일이 나타나는 형태라는 것. 이는 이메일로 카드요금 청구서 등을 받았을 때 오는 보안메일과 유사한 형식으로 해커들이 새로운 공격 방법을 개발한 것으로 보인다.
해커는 북한인권 단체 관계자 이름을 도용해 이메일을 보내고 본문에 “본 메일은 통일부 이산가족정보통합시스템(RSS)에서 발송된 보안메일입니다”는 문구를 삽입해 공격대상자들을 속이려고 했다.
또한 해커는 남북이 이산가족 생사확인서를 교환하는 3일 이산가족정보를 확인할 수 있다는 이메일을 유포, 효과의 극대화를 꾀한 것으로 추정된다. 남북은 이날 판문점에서 남측 이산가족 250명과 북측 이산가족 200명의 명단을 교환한 바 있다.
이번 해킹 공격은 북한으로 단정할 수는 없지만 기존에 북한에서 사용하던 코드들이 쓰인 점과 이메일을 보낸 방식, 탈북민 및 북한인권 단체 관계자들을 노렸다는 점에서 북한의 소행으로 추정된다.
익명을 요구한 보안 전문가는 4일 데일리NK에 “이번 공격이 사용된 코드상으로 북한이 과거에 쓰던 것과 유사해 북한 소행으로 추정된다”면서도 “다만 아직까지 단정적으로는 말할 수 없고, 조사가 더 필요하다”고 말했다.
이스트시큐리티 시큐리티대응센터 문종현 이사는 “공격에 사용되는 코드나 최종적으로 생성되는 실행파일(exe)이 기존에 한국에서 다수 분석되었던 종류로, 특정 정부지원을 받는 해커 추정의 공격 기법과 매우 흡사한 부분이 발견이 됐다”며 “코드 안에 러시아어를 사용해 의도적으로 공격원점을 숨기려 했지만 HWP파일을 사용한 점이나 유창한 한국어로 ‘비번’같은 한국인들이 많이 사용하는 단축표현을 사용한 점으로 미워보아 특정국가의 지원을 받는 해커들의 소행으로 추정된다”고 말했다.
한편, ‘작전명 미스터리 에그(Operation. Mystery Egg)’로 명명된 이번 지능형지속위협(APT)은 주로 한국의 북한 관련 단체를 공격할 때 쓰는 수법인 것으로 전해졌다.
문 이사는 “이번 공격이 특정 정부지원을 받고 있는 것으로 추정되는 ‘금성121’그룹이 이메일을 통해 APT 공격을 수행하고 있다”며 “APT 공격은 지속적으로 원하는 목표를 이루기 위해서 해킹하는 방식으로 공격이 성공할 때까지 계속 지속한다”고 소개했다.
이어 그는 “해커는 감염된 컴퓨터의 환경 정보를 수집해 자신들이 원하는 대상의 컴퓨터로 판단되면 추가 명령제어서버(C&C)를 통해 추가 파일을 내려보낸다”며 “그렇게 되면 해커가 해당 감염 PC를 원격제어 해 컴퓨터의 모든 권한이 탈취된다”고 덧붙였다.
전문가들은 해커들의 사이버 공격이 갈수록 지능화되고 있어 각별한 주의가 필요하다고 말했다.
익명을 요구한 보안전문가는 “해킹을 예방하기 위해서 일단 메일을 받았을 때 발신자 이메일 주소를 확인하는 습관이 필요하다”며 “해커들은 한국 포털 사이트들의 이메일을 이용해 해킹공격을 시도하므로 공식적으로 정부기관에서 보낸 메일인지 확인 후 열어보고 해킹으로 의심되는 메일은 전문기관에 신고해야 한다”고 당부했다.