북한으로 추정되는 해커가 북한 인권단체와 활동가들에 대해 최근 NGO 활동가와 공공기관으로 위장해 피싱(Phishing) 메일을 보내고 해킹을 시도한 것으로 나타났다.
이광백 국민통일방송 대표는 지난 28일 자신의 페이스북에 북한 해커부대의 공격으로 보이는 이메일을 2개를 받았다며 관련사진을 공개했다.
이 대표가 공개한 이메일에는 발신자가 조주연 북한연구소 총무차장으로 되어 있는데, 데일리NK가 북한연구소에 문의한 결과 발신자인 조주연 총무차장은 실존 인물이지만 실제 해당 메일은 본인이 사용하는 것이 아닌 것으로 드러났다.
해당 메일을 북한 추정 해커가 조 총무차장의 개인 정보를 도용해 만들었거나 사용자 정보를 조 차장인 것처럼 위장한 것이다.
발신자가 사이버경찰청인 다른 이메일은 주소가 ‘secman@cyberpolice.qo.kr‘로 돼 있는데 이는 공공기관에서 사용하는 ’go‘와 모양이 유사한 ‘qo’를 사용해 수신자를 속이려 했던 것으로 보인다. 또한, 경찰청 사이버 안전국은 있지만, 사이버경찰청이라는 조직이 따로 없으며 경찰은 보통 ’****@police.go.kr’ 형식의 이메일을 사용하고 있는 것으로 파악됐다.
피싱 이메일을 분석한 보안업체 전문가는 이메일을 북한 해커가 보낸 것으로 추정된다고 말했다.
국내 보안 업체 이스트시큐리티 시큐리티대응센터(ESRC) 문종현 이사는 데일리NK에 “이메일에 악성코드가 담긴 것을 확인했다”며 “이메일 발신지 IP주소가 미국 애틀랜타로 확인됐지만 북한이 지난 2016년 최순실 사태를 이용해 해킹 공격을 시도한 IP와 대역이 유사하다는 점에서 북한의 공격으로 의심이 된다”고 말했다.
북한은 지난 2016년 최순실 국정농단 사건이 발생했을 때 ‘최순실’, ‘국정농단, ’대통령 하야‘ 등을 키워드로 하는 피싱 이메일을 유포해 해킹을 시도한 바 있다. (관련기사 : 北, 최순실 사태 南 해킹 공격에 악용… 코드명 ‘말대가리’)
문 이사는 “해커가 보낸 이메일 아이디(chojyinks)가 국내 이메일 서비스인 한메일에 가입되어 있어 등록 정보를 확인한 결과 ‘ko******@zo******.com’으로 돼있었다”며 “zo******.com의 정확한 사이트 이름을 확인할 수 없으나 zoho.com은 과거 북한 해커들이 사용했던 이메일 서비스 종류 중 하나다”라고 강조했다.
문 이사는 “코드를 분석한 결과 코드 안에 ‘고객쎈터’라는 북한식 영문 된소리 표현이 사용된 점도 눈에 띈다”며 “두 번째 메일도 북 스타일의 피싱으로 분석되고 있어 지령이 하달된 것이 아닌지 의심해 볼 필요가 있다”고 말했다.
한편, 9월 3차 남북정상회담이 예정되는 등 남북관계가 지속 개선되고 있는 상황임에도 불구하고 북한은 지속해서 해킹 공격을 시도하고 있는 것으로 나타났다.
북한 해커 조직으로 알려진 금성 121그룹은 지난 14일 최근 PC용 백신 프로그램으로 위장해 악성코드를 유포한 바 있으며 지난달에도 이산가족 상봉을 매개로 탈북민·북한 인권 관계자를 대상으로 피싱 공격을 한 바 있다.
