북한 해킹조직이 중앙선거관리위원회(선관위)를 사칭한 해킹 메일을 유포 중인 것으로 8일 파악됐다. 선관위에서 배포한 보도자료를 활용한 점으로 미뤄 언론사 기자들을 목표로 공격을 수행 중일 가능성이 높아 주의가 요구된다.
과거 데일리NK에 근무했던 한 직원은 지난 7일 ‘중앙선거관리위원회 공보과’에서 발송한 ‘제20대 대통령선거 선거권자 개표참관인 공개 모집’이라는 제목의 이메일을 수신했다.
이메일은 선관위에서 제20대 대통령선거 개표상황을 참관할 개표참관인을 모집한다는 내용과 함께 보도자료가 첨부돼있었다.
그러나 그는 이메일은 선관위 공식 계정이 아닌 개인이 발송한 형태로 돼 있는 등 수상한 점이 눈에 띄어 이를 본지에 제보했다.
본지가 해당 이메일을 전문가에게 분석을 의뢰한 결과 북한 해킹조직의 소행으로 밝혀졌다.
문종현 이스트시큐리티 시큐리티대응센터 센터장은 “공격기법이나 스타일 등을 분석한 결과 북한 해킹조직 ‘금성121′(Geumseong121)의 소행으로 파악됐다”면서 “선관위에서 배포하는 보도자료처럼 위장한 지능형지속위협(APT) 공격을 수행한 것”이라고 전했다.
금성121은 북한과 연계된 대표적인 해킹조직으로 정찰총국의 통제를 받는 것으로 알려졌다. 이들이 실제 선관위가 7일 홈페이지에 공개한 보도자료를 위변조해 해킹에 활용하고 있다는 이야기이다.
문 센터장은 “첨부된 한글 문서(HWP)를 실행하면 가짜 팝업을 나온다”면서 “확인 버튼을 누르면 내부에 숨겨져 있는 악성 OLE(Object Linking and Embedding, 객체 연결 삽입) 코드가 작동한다”고 설명했다.
OLE는 독립적인 자료들을 하나의 응용프로그램에서 다양하게 사용할 수 있는 기능으로 프로그램 내 정상적인 기능이다. 소프트웨어 보안 취약점이 아닌 정상적인 OLE 기능을 악용해 악성 코드를 삽입한 후 실행하는 것이다. 이 때문에 최신의 보안 패치가 상태이더라도 악성코드가 작동된다. 문서를 열었을 때 ‘콘텐츠 실행’ ‘매크로 실행’ 등 특정 기능을 사용하도록 유도한다면 취소를 누르고 프로그램을 닫아야 한다.
이어 문 센터장은 “악성코드가 실행되면 그다음 명령에 따라 공격자 서버(work3.b4a[.]app)와 통신을 한다”면서 “공격자 의도에 따라 추가 악성코드 명령이 내려오게 되는 구조이다”고 덧붙였다.
북한 해커들은 기본적으로 기본적으로는 정보수집용 모듈이나 원격제어 가능한 백도어를 공격대상자에게 설치한다. 이후 공격 대상자의 정보를 바탕으로 추가 악성 프로그램을 설치하거나 2차 공격에 활용한다.
한편, 대선을 30여 일 앞두고 북한 해커들의 공격이 거세지는 중이다.
북한 해킹 조직은 지난 3일 다수의 국내 언론사의 정치, 외교, 통일 관련 취재기자들에 피싱 메일을 발송한 바 있다.(▶관련기사 바로가기 : 북한 추정 해커, 지상파·언론사 기자 대상 무작위 ‘피싱 공격’)
대선을 한 달여 앞둔 시점에서 언론사 기자들을 정보 탈취 거점으로 이용하려는 의도다.
이번 공격 역시 선관위에서 배포한 공식 보도자료를 활용했다는 점에서 언론사 기자들을 목표로 다시 노린 것으로 보인다. 북한 해커들이 주요 사회 이슈를 활용해 공격에 활용하는 만큼 향후에도 대선을 매개로 한 다양한 형태의 공격을 벌일 가능성이 높은 상황이다.
이메일을 열람할 시 발신자를 확인하는 게 보안을 지키는 데 도움이 된다. 특히 이메일 발신자명을 바꾸는 일은 해커에게 매우 간단한 일이다. 이에 지인이나 공공기관으로 발신자가 표시된 이메일일지라도 발송 여부를 직접 확인하는 것이 해킹 방지 방법 중 하나다.