|
|
북한인권단체 관계자 및 북한전문매체 기자 등을 대상으로 한 북한의 사이버 공격 전략이 날이 갈수록 노골적이고 치밀해지고 있다. 공격 대상들에게 무작위로 악성코드를 심은 첨부파일을 이메일로 보내던 과거와 달리, 대상 1명을 지정해 직접 휴대전화 메신저인 카카오톡으로 접근하는 ‘맞춤형 해킹’ 전략을 쓰기 시작한 것이다.
북한 측으로 추정되는 해커는 22일 오전 9시 4분 본지 기자에게도 ‘카카오톡 해킹’ 수법으로 접근했다. 본인을 Y 대학 법학연구원 소속의 ‘이태경’이라 소개한 이 해커는 본지 기자가 작성한 기사의 링크를 보내며 말을 걸어왔다(사진). 상대방과 전혀 친분이 없던 기자가 다소 의아해하며 ‘연락처를 어떻게 알았느냐’고 묻자, 해커는 ‘그런 것쯤이야…’라며 답변을 피했다.
이어 해커는 논문 집필에 필요하다며 기사와 관련된 사진을 요청해왔다. 자료비를 주겠다는 말도 덧붙였다. 그러나 해당 기사 본문에는 관련 사진이 삽입돼 있지 않았으며, 기사 썸네일로 사용된 통일부 정례브리핑 사진 역시 굳이 본지 기자에게 요청할만한 자료가 아니었다. ‘필요돼다’ 등 우리말 어법에 맞지 않는 말투도 눈에 띈다.
해커가 보낸 기사 링크를 보안전문업체에 의뢰해 분석한 결과, 과거 북한 해커 소행으로 판명됐던 해킹 메일과 동일한 악성 코드가 심어져 있었던 것으로 확인됐다. 익명을 요구한 보안전문가는 “이번 해킹 시도 역시 사실상 북한 측의 소행이라는 합리적 추론이 가능하다”면서 “최근 북한이 스마트폰에 악성코드를 심어 해킹을 시도하려는 정황이 포착된다”고 진단했다.
이 전문가는 “이 기사 링크를 보낸 이는 해당 링크에 악성코드가 심어져 있다는 것을 인지하고 있었을 것”이라면서 “해킹 대상이 스마트폰으로 링크를 열어볼 것을 노리고 악성코드를 제작해 유포했던 것으로 보인다. PC 버전으로 열어봤다면 아무런 공격을 받지 않았을 수 있다”고 말했다.
특이한 점은 해당 링크에 심어놓은 악성코드가 시간이 지나면 자동으로 사라지게 돼 있다는 것이다. 보안업체 역시 본지 기자의 해킹 분석 의뢰를 받은 직후에는 악성코드를 발견하지 못했지만, 해당 링크의 ‘히스토리(이전 기록)’를 분석한 결과 악성코드를 찾아낼 수 있었다.
보안전문가는 “이번 해킹 시도는 메신저로 링크를 보낸 직후 이를 처음 열어보는 사람만을 겨냥하고 있었을 가능성이 있다”면서 “해킹이 누구의 소행인지 밝혀내지 못하도록 하려는 수법일 것”이라고 지적했다.
이처럼 카카오톡 메신저를 활용한 해킹 시도는 두 가지 측면에서 기존의 북한식 사이버 해킹과 차이를 보인다. 이제까지 북한 소행으로 판명된 사이버 해킹 시도 대부분은 국책연구기관이나 경찰청, 공공기관 등을 사칭한 이메일에 악성코드를 심은 파일을 첨부, 수신자가 이를 열람할 경우 해킹이 이뤄지도록 하는 방식이었다.
하지만 이번에는 최근 가장 많이 쓰이는 휴대전화 메신저인 카카오톡을 활용했다는 점에서 해킹 수법이 한층 교묘해졌다고 볼 수 있다. 이메일을 통한 해킹 시도에 피해자들이 낯선 발신자의 연락에 경각심을 갖기 시작하자, 전혀 예측하지 못한 카카오톡 메신저를 활용해 접근한 것이다.
또 하나 주목할 만한 점은 북한관련단체 관계자들에게 북한 문제에 관한 문서를 익명으로 혹은 타인을 사칭해 보내던 과거와 달리, 이번 해킹 시도는 해킹 대상자가 직접 작성한 글을 활용했다는 것이다. 해킹 대상자의 의심을 누그러뜨리고 되레 호기심을 생기게 하려는 수법으로 보인다.
본지 기자 역시 여러 차례 이메일을 통한 해킹 위험에 노출되면서 낯선 발신자를 주의해오고 있었으나, 카카오톡 메신저로 직접 작성한 기사의 링크를 받은 직후에는 별다른 의심을 하지 못했다. 현재 카카오톡 메신저를 활용한 해킹 정황은 보안전문업체와 경찰청 사이버수사대에서 분석 중이다.
한편 이번 해킹 시도를 한 ‘이태경’의 카카오톡 메신저는 미국 국가번호를 사용하고 있는 것으로 추정된다. ‘이태경’의 카카오톡 프로필 사진에 노출된 미국 국기가 그 증거라는 게 보안전문업체의 분석이다. 다만 해킹 시도 자체가 미국에서 이뤄졌다고 단정하긴 어렵다.
보안전문가는 “해커가 해킹을 위해 카카오톡을 설치하지 않고, 1차적으로 다른 이의 카카오톡 계정을 탈취해 해킹을 시도했을 수 있다”고 말했다. 이 역시 해커의 위치나 행적을 파악하지 못하도록 하기 위한 수법이란 설명이다.
