北해커, 지성호 의원실·교수 등 사칭해 전방위 사이버 공격

이광백 국민통일방송 대표가 받은 첫번째 지성호 의원실 사칭 메일. / 사진=이광백 대표 제공

최근 북한 해킹 조직 탈륨이 국민의힘 지성호 의원실을 사칭해 피싱(Phishing) 공격을 한 것으로 나타났다. 비슷한 시기 탈륨은 교수, 한미안보협의회(SCM), 국내 대형 포털과 언론 등을 사칭한 공격을 하는 등 파상공세를 하고 있다.

데일리NK 취재 결과 먼저 지난달 27일 이광백 국민통일방송 대표는 ‘[지성호의원실] NED회장 비공개면담’이라는 메일을 받았다. 메일은 지 의원이 칼 거쉬만 미국 민주주의 기금 회장과 비공개 면담을 했다는 내용이었다. 이메일에는 면담 내용을 정리했다는 한글(HWP) 문서도 첨부돼 왔다.

그러나 지 의원실은 해당 이메일을 발송하지 않았으며 문서 역시 생산하지 않았다고 밝혔다. 이메일 발송자로 언급된 지 의원실 비서관 이름도 부정확했다.

사회공학기법(Social Engineering)을 활용해 지인, 지원 등을 미끼로 공격 대상자를 현혹하는 피싱 이메일을 보낸 것이다. 사회공학기법을 이용한 해킹은 시스템이 아닌 사람의 취약점을 공략해 정보를 탈취하는 방식이다.

본지가 해당 이메일을 전문가에게 분석을 의뢰한 결과, 북한 해킹조직 탈륨(Thallium)의 소행으로 나타났다. 미국 마이크로소프트는 지난해 탈륨의 배후에 북한이 있다면서 이들을 연방법원에 고소한 바 있다. 탈륨은 김수키(Kimsuky)라는 이름으로도 불리고 있다. 김수키는 지난 2014년 한국수력원자력을 공격한 북한 해킹조직이다.

문종현 이스트시큐리티 시큐리티대응센터(ESRC) 센터장은 2일 “이번 사칭 이메일에서 탈륨이 기존에 사용해왔던 서버와 IP를 확인했다”면서 “다만 HWP 문서에 비밀번호가 걸려 있어 악성 파일인지를 정확히 확인하기 어렵다”고 전했다.

그러면서 문 센터장은 “이메일을 회신하면 공격자가 비밀번호를 보내주는 방식으로 보인다”고 설명했다.

최근 탈륨은 HWP, 워드(DOC) 등 문서형 악성 파일을 전송할 때 보안 프로그램의 탐지 회피와 의심을 최소화하기 위해 프로그램의 자체 비밀번호 설정 기능을 악성코드에 적용해 보내고 있다.

이는 공격 대상자의 이메일 수신 여부, 파일 열람 등을 파악함과 동시에 피싱 표본이 보안 전문가들에게 넘어가지 않도록 안전장치를 마련하려는 전략이다.

실제, 공격자는 이메일에 ‘외부로 유출을 엄격히 금한다’ ‘관련 문의 사항 있으면 저에게 연락주시기 바랍니다’는 내용을 넣었다.

이 대표와 협력해 문서 비밀번호를 요청하는 답장을 보내자 공격자는 암호, HWP 파일, 프로그램 실행 파일(EXE)을 보내왔다.

문 센터장은 “29일 보냈던 HWP 파일은 문서프로그램 자체 기능으로 암호화된 문서였다”면서 “그러나 30일 회신으로 보내온 파일은 암·복호화 프로그램처럼 위장한 EXE 악성 파일과 암호화된 HWP 문서였다”고 말했다.

공격자가 보내 온 악성 복호화 프로그램으로 파일을 변환시켜야 문서를 열 수 있다는 게 문 센터장의 설명이다. 두 번째 메일에 있던 비밀번호는 HWP 문서 복호화 및 악성 프로그램 활성화를 위한 두 가지 용도로 사용됐다.

문 센터장은 “복호화 기능을 가진 악성 프로그램을 실행하면 특정 서버와 통신하게 된다”면서 “이를 통해 공격자는 파일 실행 여부를 확인, 추가 공격 명령을 내릴 수 있다”고 주의를 당부했다.

공격자가 보내준 비밀번호와 복호화 프로그램을 이용해 파일을 열었더니 ‘지성호의원 – 거쉬만 NED 회장 비공개면담(10.18) 결과’라는 제목의 문서가 나타났다.

그러나 문서는 실제 면담 내용이 아니라 지 의원과 거쉬만 회장 이름만 사칭한 것으로 나타났다. 문서에 ‘대사’라는 표현이 있는 점으로 미뤄보아 원본 문서는 특정인과 특정국 대사가 비공개 면담한 내용을 정리한 자료로 보인다. 이에 원본 문서를 생산한 특정인 혹은 관계자가 해킹을 당해 파일이 유출됐고 해커가 이를 활용했을 가능성이 있다.

이광백 국민통일방송 대표가 받은 세 번째 지성호 의원실 사칭 메일. /사진=이광백 대표 제공

또한, 공격자는 이 대표가 문서 비밀번호를 요구한 후 문서를 열람하지 않자 재차 이메일을 보내 재촉하는 모습을 보였다. 세 번째 이메일로 이 역시 지 의원실을 사칭했다.

지난달 31일 공격자는 이 대표에게 ‘[지성호의원실] 대표님 000 비서관입니다’는 내용의 메일을 통해 “거쉬먼 회장이 매우 어려운 상황에 있는 것 같다”며 “계속 지켜보고만 있으면 더 불리하다고 하면서 지 의원님은 미 의회에 서신을 보내기로 했다”고 말했다.

공격자는 도 “지 의원님은 대표님께서 거쉬먼 회장에게 보내는 서신을 작성해줄 것을 기대하고 있다”며 “서신을 작성하시여 저에게 보내주시면 거쉬먼 회장 쪽과 의논해보겠다”고 말했다.

이어 공격자는 “빠른 회신 기다리겠습니다”라면서 답장을 재촉했다.

문서를 열람하지 않자 해커는 2일 오전 ‘미의회에 보낼 서신작성이 어떻게 되었습니까. 가능한 껏 오전 중에 연락주시기 바랍니다’라면서 네번째 사칭 이메일을 보내왔다.

한편, 이번 공격은 해커가 이메일에 정확하게 이 대표를 지칭했다는 점에서 불특정 다수가 아닌 특정 기관이나 인물을 표적으로 삼아 집중적으로 공격하는 스피어피싱(Spear Phishing)으로 보인다.

실제, 이 대표는 최근 교수, SCM을 언급하면서 특정 언론사인 것처럼 위장한 공격과 국내 대형 포털 네이버를 사칭한 공격을 연달아 받았다.

문 센터장은 “교수, SCM을 언급한 이메일은 지 의원실을 사칭한 공격자와 서버, IP가 동일하다”며 “네이버 사칭 공격은 발신지는 다르지만 동일한 해커의 소행으로 보인다”고 말했다.

이어 그는 “최근 대북 단체 관계자들을 노린 공격이 계속되고 있다”면서 “이메일, 문서 열람, 링크 클릭 시 각별한 주의가 필요하다”고 덧붙였다.

한편 미국 국토안보부 산하 사이버 안보·기반시설안보국(CISA), 사이버사령부 산하 사이버 국가 임무군(CNMF), 연방수사국(FBI)은 지난달 27일 북한 APT(지능형지속위협) 그룹인 김수키가 최근 여러 기관을 공격하고 있다고 합동 경보를 발령한 바 있다.