“통일부 기자단에 악성코드 배포, 조성길 정보수집 목적 가능성”

지난 7일 북한으로 추정되는 해커 조직이 통일부 기자단을 대상으로 악성코드가 담긴 이메일이 유포했다. / 사진=데일리NK

북한으로 추정되는 해킹 조직이 최근 통일부 기자단에 악성 코드를 담은 이메일을 배포한 것을 두고 조성길 주(駐)이탈리아 북한 대사대리의 정보를 수집하려는 의도로 보인다는 주장이 제기됐다.

익명을 요구한 한 보안전문가는 9일 데일리NK에 “태영호 전 영국주재 북한 공사가 망명할 때도 영국의 프리엔케이(Free NK) 대표와 다른 관련 기자들에게 공격이 들어갔었다”며 “ 최근 통일부 기자단들이 조성길 대사 대리 기사를 많이 쓰고 있어 (관련) 정보를 수집하고 있을 것으로 판단해 공격 대상으로 삼은 것으로 보인다”고 전했다.

실제, 영국 런던에서 북한 소식을 전하는 프리엔케이의 홈페이지가 태 전 공사의 망명 소식이 밝혀진 다음 날 새벽 2시에 해킹됐으며 홈페이지 방문자들에게 악성코드가 유포된 바 있다.

당시, 악성코드에 감염된 PC를 통해 중요 문서들뿐만 아니라 브라우저에 저장된 이메일 계정과 패스워드 등까지 모두 탈취됐다.

특히, 또 다른 북한 추정 해킹 조직이 수신자 목록에 있던 기자 중 한 명을 표적으로 추가 피싱 공격을 한 것으로 조사됐다. 해킹을 주도한 조직은 다르지만, 이전 통일부 기자단 악성코드 배포 공격의 연장선에 있는 것으로 보여 추가적인 공격도 우려된다.

이 보안전문가는 “통일부에 출입하는 모 신문사 사이트 내부망에 접근하기 위해 아이디와 비밀번호를 탈취하려는 공격도 포착됐다”며 “APT 37이라는 조직이 공격한 것으로 보인다”고 밝혔다

메일은 특정 신문사의 관리자 페이지에 계정인증을 해야 한다는 내용을 담고 있으며 계정인증을 클릭하면 신문사의 관리자 페이지로 위장된 파밍(pharming) 사이트로 연결된다. 해커가 만든 가짜 신문사 관리자 페이지에 아이디와 비밀번호를 입력하면 관련 정보가 해커에게 전송된다. 탈취한 아이디와 비밀번호로 실제 신문사 관리자 페이지에 접속해 기사화 되지 않은 내부 정보 등을 파악하려는 의도다.

한편, APT 37은 북한의 해커 조직인 라자루스의 하부조직 중 하나인 ‘미로 천리마(Labyrinth Chollima)’로 알려졌다.

소셜공유