북한 해커조직이 국내 북한인권 단체와 활동가들을 대상으로 사이버 공격을 시도한 정황이 포착됐다.
데일리NK가 지난 28일 이광백 국민통일방송 대표가 제공한 피싱 의심 메일을 전문가에게 의뢰해 분석한 결과 해당 메일은 북한 해킹 조직 ‘탈륨(Thallium)’의 소행으로 나타났다.
문종현 이스트시큐리티 ESRC(시큐리티대응센터) 이사는 이날 본지에 “공격자가 사용한 발신지 서버가 기존 탈륨 조직이 사용하던 것과 공격 흐름상 거의 일치한다”면서 “탈륨은 김수키(Kimsuky)와 같은 조직이다”고 말했다.
탈륨은 지난해 미국 마이크로소프트사(社)가 연방법원에 고소한 북한 해킹 조직이다. 김수키는 지난 2014년 한국수력원자력을 공격했으며 최근까지 국내 정치인, 학자, 탈북민, 대북단체 관계자들을 대상으로 지능형 지속 위협 공격(APT)을 지속해온 북한 해킹 조직이다. 두 조직은 동일하거나 상당히 밀접한 관계에 있는 것으로 알려졌다.
해커는 국내 북한인권 단체의 이름을 도용해 ‘북한 핵실험장 지역 인근 출신 탈북민 명단-1.hwp”라는 제목의 이메일을 이 대표에게 보냈다. 이메일 제목과 발신자명으로 공격 대상자가 이메일을 열람하게 하려는 수법이다.
문 이사는 “이메일 발신지 주소가 네이버 메일이지만 실제로는 해커에 의해 조작된 것이다”면서 “피싱(Phishing)을 예방을 위해 이메일을 열람하기 전 발신자에게 발송 여부를 확인하는 것이 좋다”고 당부했다.
여기에 발신자 이메일 주소도 해당 단체가 아닌 탈북민이 대표로 있는 또 다른 시민단체의 것으로 확인됐다. 해커가 이메일 발신자를 조작하면서 발신자명과 이메일 주소를 정확하게 확인하지는 않은 것으로 보인다.
이메일에는 “북한 핵실험 지역 인근 출신 탈북민 명단 첨부합니다. 이들에 대한 구체적인 자료 있으면 보내주시면 감사하겠습니다. 빠른 회신 기다리겠습니다”라는 내용과 구글 드라이브 URL이 담겨 있었다.
여기서 구글 드라이브 링크를 클릭했을 때 네이버 로그인 팝업이 나오게 한 것은 다소 허술한 부분이라고 할 수 있다. 네이버 로그인 창으로 정보를 탈취하려면 네이버 드라이브 URL을 사용하는 게 공격 대상자를 속이기 쉽다.
문 이사는 “해당 URL을 클릭하면 팝업으로 네이버 로그인 창이 뜨고 사용자에게 주소와 비밀번호 입력을 요구한다”며 “여기에 정보를 입력하게 되면 해커가 준비해둔 해외 서버로 이메일 주소와 비밀번호가 유출된다”고 설명했다.
이메일과 비밀번호를 입력하면 ‘북한 핵실험장 지역 인근 출신 탈북민 명단’이라는 제목의 hwp 문서를 보여준다. 공격 대상자가 해킹을 당했다는 사실을 숨기기 위한 해커의 전략 중 하나다.
여기에 사용된 구글 드라이브 계정은 국내 유명 대학의 통일연구원을 사칭하고 있다. 이 역시 해커가 공격 대상자를 안심시키기 위해 안배해 놓은 장치 중 하나다.
문 이사는 “해커가 지메일을 만든 후 특정 기관을 사칭한 것으로 보인다”면서 “다른 공격에도 활용될 가능성이 있어 주의가 필요하다”고 말했다.
해커가 보여준 문서는 2018년 4월에 만들어진 것으로 내부에 별다른 악성 기능은 없는 것으로 확인됐다. 한글 문서(HWP)의 경우 프로그램 취약점을 이용해 정보를 탈취하는 악성 문서가 자주 발견된다. 하지만 이번에는 해당 방식은 사용하지 않았다.
이는 해커가 악성코드를 심어 PC의 정보를 수집하는 것이 아닌 단순히 이메일 계정만을 노린 공격이라는 의미다.
보통 북한 해커들도 휴식을 취하는 일요일에 단편적이고 다소 허술한 공격을 한 점에서 상부에서 갑작스러운 정보 수집 지시가 내려왔을 가능성이 있다.
북한 해커들은 남북한에 특별한 이슈가 발생하면 관련 정보를 수집하기 위한 공격을 시도해 왔다. 이에 북한이 지난 26일(일요일) 공개한 월북자에 대한 정보를 확보하기 위한 공격을 급하게 준비한 것 아니냐는 지적이 나온다.
