오늘(3일) 북한 추정 해커들의 공격 시도가 포착됐다. 긴 연휴가 끝나고 업무에 복귀하는 사람들을 노린 공격으로 보인다. 특히 지상파 방송 및 언론사 기자들을 중심으로 전방위적으로 피싱 메일이 유포되고 있어 주의가 요구된다.
본지 대표를 포함한 직원 3명은 이날 오전 ‘[중요] 자료 송부’라는 제목의 이메일을 수신했다.
세 명이 수신한 이메일은 모두 동일하게 “문 이사님 안녕하세요. 요구하신 자료를 첨부하여 보내드립니다. 민감한 정보가 포함되어 있어 보안상 각별한 주의 부탁드립니다”는 내용이 담겨 있었다.
메일 수신자가 요청한 자료를 첨부한 것처럼 위장한 피싱 메일이다. 여기에 해커는 ‘민감한 정보’라는 말을 사용해 수신자들의 호기심을 자극하고 첨부파일 열람을 유도한 모습도 보인다.
‘문 이사님’이라는 표현도 평소 본지가 보안 분석 관련 자문을 구하는 문종현 이스트시큐리티 시큐리티대응센터 이사를 지칭한 것으로 추정된다. 공격 대상자의 방심을 유도하기 위해 한 해커의 전략 중 하나로 보인다.
해당 이메일을 보안전문가에게 분석을 의뢰한 결과 첨부파일에서 악성코드가 발견됐다.
문 이사는 “이메일에 MS워드 매크로 기능을 이용한 악성 파일이 첨부돼있다”면서 “‘콘텐츠 사용’ 버튼을 누르면 악성 명령이 작동되는 방식이다”고 말했다.
일반적으로 워드 문서를 열었을 때 상단에 보안경고 메시지가 나오면서 악성 매크로를 차단한다. 그러나 사용자가 ‘콘텐츠 사용’ 버튼을 누르면 악성 명령이 작동된다.
악성 명령이 작동하면 해커가 만든 원격지 서버에서 암호화된 추가 악성코드가 설치되고, 키보드 입력 내용을 포함해 각종 개인정보 탈취가 진행된다.
문서에는 ‘보안번호가 출시합니다’ ‘여기에 현시됩니다’와 같은 북한식 표현이 발견됐다. 해커가 문서를 탈취한 후 일부분을 수정하면서 북한식 표현을 사용한 것으로 보인다.
또한, 해당 이메일은 다수의 국내 언론사의 정치, 외교, 통일 관련 취재기자들에게도 대규모로 유포된 것으로 확인됐다.
대선을 한 달여 앞둔 시점에서 언론사 기자들을 정보 탈취의 거점으로 이용하기 위한 사전 공격일 가능성도 제기된다.
대선국면에서 각 정당과 후보 캠프가 언론과 밀접하고 긴밀하게 소통하고 있다. 해커는 탈취한 기자들의 정보를 활용하면 캠프를 공격해 추가 감염을 시켜 내부 정보까지 탈취하기 수월해진다.
국정원 국가사이버안보센터(NCSC)가 지난해 12월 발표한 ‘2021국가사이버안보션테 연례보고서’는 올해 주요 위협으로 국가 배후 해킹조직의 20대 대통령 선거 전후 우리 정부의 대미·대북정책 정보 수집을 꼽았다. NCSC는 이들이 안보 현안·정부 정책 정보 절취 집중할 것이라고 밝혔다.
일반적으로 북한, 러시아, 이란, 중국 등이 국제 및 국가 배후 해킹조직을 운영하는 것으로 알려졌다. 대미·대북정책 수집에 집중할 것이라는 점으로 미뤄보아 여기서 언급된 국가 배후 해킹조직은 북한으로 보인다.
새해 들어 북한 해커의 공격이 다양한 수단과 매개체를 통해 상당히 많이 발견되고 있다. 이메일이나 자료 수신 시 발신자를 확인하는 게 보안을 지키는 데 도움이 된다. 특히, 이메일 발신자명을 바꾸는 일은 해커에게 매우 간단한 일이여서 지인으로 표시된 이메일일지라도 직접 발송 여부를 직접 연락해 확인하는 것이 해킹을 방지하는 방법의 하나다.
