북한 해커, 南정착 탈북민 카카오톡 24시간 지켜본다



▲ 한국에 정착한 탈북민들을 대상으로 북한 해커가 집중적으로 해킹 공격을 시도, 탈북민들의 카카오톡(PC) 채팅 내용도 실시간으로 탈취되고 있는 것으로 확인됐다. 데일리NK가 보안전문가 등과 협업을 통해 조사한 결과 문서·동영상·사진 등을 탈취하는 해킹 공격은 지금도 진행 중이다. 보안전문가들은 대부분의 탈북자들이 이런 사실을 모르고 있다는 데 문제의 심각성이 있다고 밝혔다. /사진=데일리NK

“지난 8월부터 탈북민과 북한인권단체 등을 대상으로 북한 해커들의 공격이 집중됐다. PC가 감염될 때까지 집요하게 공격했고, PC 내 많은 문서와 동영상·사진 등이 북한 해커들에게 탈취됐다. 주요 단체·기관 등은 정부나 보안업체가 나서서 문제를 해결하고 있지만, 탈북민 개인들은 소재지 등을 파악할 수 없어 대응이 안 되는 상황이다.

심지어 지금도 본인 컴퓨터가 감염 돼 있는지 모르는 분들이 많다. 무엇보다 일부 문서엔 북한에 있는 가족을 유추할 수 있는 자료가 있어, 경각심을 줄 필요가 있다. 탈북민들에게 PC 상황을 점검하고 앞으로 절대로 낯선 파일을 열지 않기를 강력하게 권하고 싶다.”

데일리NK가 국내 외 보안전문가들과 최근 북한의 해킹 공격을 조사한 결과, 피해정도가 심각한 것으로 드러났다. 조사 결과에 따르면 현재 50여 명 이상의 탈북민들 PC가 북한 해커들에 장악됐다.

해커들은 카카오톡(PC버전) 채팅을 24시간 모니터링 하는가 하면 개인 이력서를 포함한 각종 정보들을 빼내고 있다. 카카오톡 대화방에 참여해 있는 탈북민이 악성코드에 감염, 탈북민이 보고 있는 채팅 창을 북한 해커 역시 실시간으로 지켜보는 것.

또한 대학 강사 혹은 북한이탈주민센터 등에 근무하고 있을 것으로 추정되는 탈북민의 PC에서 상당수의 자료 들이 빠져나간 것이 확인됐다. 한국 내 탈북민은 물론 심지어 북한에 있는 가족의 안위까지 우려되는 상황이다.

조사를 담당한 익명의 보안업체 전문가는 “북한 해커들의 공격 유형을 오랫동안 지켜봤지만 탈북민을 대상으로 이렇게 집요하고 광범위하게 공격한 것은 보지 못했다”면서 “이들 해커들이 가져간 자료가 어떻게 쓰일지 알 수 없다는 점이 더 우려스러운 대목”이라고 말했다.

그는 “태영호 영국주재 북한 대사관 공사의 망명 보도와 연관이 되어 있는지는 정확히 모르겠지만 (상당한 준비기간을 거쳐) 8월 중순이후 집중적인 공격이 시작됐고 그 공격은 지금도 진행되고 있다”면서 “현재 한국 사회에서 가장 활발히 하고 있는 탈북단체의 대표의 PC는 지금도 북한 해커들에게 장악돼 있다. 문제가 심각하다”고 경고했다.



▲ 북한 해커의 공격으로 탈취된 자료들./사진=데일리NK

북한의 해킹 공격을 조사·분석한 결과는 다음과 같다. 우선, 해킹 공격을 주도하고 있는 IP를 분석한 결과 평양 소재임이 드러났다. 조사에 참가한 전문가는 “해커가 명령내리는 것을 복호화(암호화를 해제하는 작업)해서 확인해본결과 평양의 IP에서 명령을 내리고 테스트하는 것을 확인했다”고 밝혔다.



▲ 해킹 공격을 주도한 IP를 지도에서 찾아봤다. /사진=오픈스트릿맵 캡쳐

조사결과 드러난 이번 공격의 또 다른 특징은 ‘트위터’가 공격을 지시하는 매개체로 등장했다는 사실이다. 이제까지 특정 웹사이트에 접속하는 인원들을 대상으로 악성코드를 심었던 방식에서 탈피, ‘트위터’를 통해 명령을 내린다는 것.

조사결과를 종합해 보면 감염 경로는 다음과 같다. 이메일 등에 첨부된 한글 문서를 클릭해 확인하는 순간 악성코드가 PC에 활성화되고, 그 악성코드가 해커가 만들어 놓은 트위터 계정에 접속, 명령을 받아 PC 속 내용들을 해커에게 보낸다는 것이다. 전문가에 따르면 현재 파악된 바에 따르면 해커들은 9개의 트위터 계정을 운용하고 있는데, 그 중 한 계정이 한국 내 탈북자들을 해킹하는 숙주로 활용되고 있다고 한다.

이메일의 첨부파일을 활용, 악성코드를 유포하고 있는 북한의 탈북자 대상 해킹 공격은 ▲내용이 없는데, 한글로 된 첨부파일이 있고, ▲첨부된 파일의 크기가 15~40KB이고, ▲ 공공기관 등을 사칭해 naver, daum, nate 주소로 발신된다는 특징을 지니고 있다. 



▲ 최근 한 달간 수집된 악성코드가 담긴 한글 파일./사진=데일리NK

조사결과에 대해 보안업체 전문가는 “북한 해커들은 주로 한글의 취약점을 이용해 문서파일에 악성코드를 심고 있다”면서 “낯선 사람이 보내는 파일에 대해선 상당한 주의가 필요하다”고 말했다.

그는 “제한된 정보를 가지고 북한 해커들의 공격을 탐지하고 있는데, 최근에도 지속적으로 감염된 인원들이 늘어나는 것을 확인할 수 있었다”면서 “조금이라도 컴퓨터의 이상이 감지되면 즉각 보안검사를 받아봐야 한다”고 강조했다.