“정부로펌 서버 장악 北해커, 신년사관련 악성코드 유포”

2017년 김정은 신년사(1일 발표)를 두고 정부 기관 및 국내외 북한 전문가들의 관심이 집중된 가운데, 북한 해커가 악성코드가 담긴 맞춤형 메일을 유포해 해킹공격을 시도하고 있는 것으로 확인됐다. 특히 북한 해커는 국가관련 소송을 맡고 있는 ‘정부법무공단’의 서버를 장악, 해킹 공격명령을 내리는 ‘명령제어서버’로 활용하고 있는 것으로 드러났다.

데일리NK가 2일 이메일에 첨부된 ‘2017년 북한 신년사 분석자료’란 제목의 한글파일을 분석한 결과, 해커는 ‘김정은 신년사’를 해킹공격을 위한 소재로 삼았다. 김정은이 이번 신년사에서 북한 최고지도자로서는 이례적으로 ‘자아비판’과 고개를 숙이는 모습 등을 연출한 것을 두고 북한 관련 국내외 단체, 전문가들은 김정은의 신년사 ‘분석 자료’에 많은 관심을 보이고 있는 상황이다.

북한 해커도 이 점을 활용한 것으로 보인다. 조사결과에 따르면 ‘통일연구원 북한연구학회’ 명의로 발신된 이메일 속 한글 파일엔 북한 해커가 문서 탈취, 서버 장악을 위해 숨겨둔 악성코드가 담겨 있었다.



▲ 분석 결과에 따르면, 북한 해커는 ‘통일연구원 북한연구학회’ 명의로 이메일을 발송했지만 첨부파일은 지난 1일 통일부에서 발표한 ‘김정은 신년사 분석자료’를 활용했다./사진=데일리NK

통일연구원 관계자는 이날 데일리NK에 “김정은 신년사 분석 자료는 ‘통일연구원 북한연구실’ 명의로 지난 1일 발송됐다”면서 “오늘(2일)은 해당 메일을 발송하지도 않았고, ‘통일연구원 북한연구학회’는 존재하지도 않는다”고 밝혔다.

이와 관련 익명의 보안업체 전문가는 “이 메일에는 오늘(2일) 오전에 만들어진 최신 북한 악성코드가 담겨있다. 김정은 신년사에 대한 관심을 북한 해커가 활용하기 위한 의도같다”고 말했다.

그는 이어 “지난해 탈북자를 대상으로 한 북한 해커의 공격과 거의 유사하다. 한글 파일에 담겨있는 악성코드도 북한 해커가 기존에 사용하던 것과 99% 일치한다”고 밝혔다.

분석 결과에 따르면, 북한 해커는 ‘통일연구원 북한연구학회’ 명의로 이메일을 발송했지만 첨부파일은 지난 1일 통일부에서 발표한 ‘김정은 신년사 분석자료’를 활용했다. 문서 속 ‘16년 및 17년 주요과업 비교’를 ‘더블 클릭’하는 순간 악성코드에 감염된다.



▲ 문서 속 ‘16년 및 17년 주요과업 비교’를 ‘더블 클릭’하는 순간 악성코드에 감염된다./사진=데일리NK

이렇게 악성코드에 감염되면 현재 북한 해커에 의해 장악된 ‘정부법무공단’의 서버로 연결돼 감염 사실이 통보된다. 이후 이를 인지한 해커가 각 감염된 PC들에 추가 파일을 개별적으로 송부한 이후 보내진 파일에 따라 특별한 동작을 하도록 설계됐다.

군 출신의 사이버 보안전문가는 “통일부의 신년사 분석 자료가 북한 해커에 의해 활용됐다는 사실은 이를 받았던 누군가의 pc가 이미 장악돼 있다는 것을 의미한다”면서 “(여기서)누군가는 통일부 기자일 수도 있고, 통일부 관계자 등일 수 있다”고 말했다.

또한 그는 “최근 태영호 전 영국주재 공사의 행보를 보고 북한 당국이 많이 화가 나 있을 것이다. 태 전 공사와 접촉할 수 있는 북한 관련 전문가, 혹은 단체를 타깃으로 악성코드를 보냄으로써 태 전 공사에 대한 정보를 수집할 목적도 있을 것”이라고 말했다.

‘정부법무공단’의 서버가 북한 해커에 의해 장악된 것과 관련해 그는 “정확히 조사해봐야 상태를 파악할 수 있을 것”이라면서도 “해당 서버 내 중요한 내용은 모두 탈취됐을 가능성도 있다”고 우려했다.

한편 북한의 이번 해킹 공격에는 지난해 공격과 차이점도 존재한다. 지난해 주로 활용된 악성코드가 담긴 이메일은 보통 파일 크기가 ‘15~40KB’였는데, 이번 공격에 쓰인 한글 파일은 크기가 ‘282KB’였다. 이를 두고 보안전문가들은 북한이 새로운 방식을 활용한 악성코드 유포에 나섰다고 분석했다.

소셜공유