북한으로 추정되는 해킹 조직이 국내 북한인권 NGO 대표를 사칭해 사이버공격을 진행한 것으로 나타났다.
데일리NK는 최근 국내 한 북한인권 NGO 대표가 보낸 이메일을 수신했다. ’OOOOO연대 대표 OOO입니다’라는 제목의 이메일에는 ‘제6차 UCOK학술회의 [올바른 남북관계를 구현하기 위한 실효적방안]에 초대합니다’라는 내용이 담겨 있었다.
그러면서 ‘통일 한국의 비전을 만들어 나갈 분들의 많은 지원 바랍니다’라는 문구와 함께 ‘제6차 UCOK학술회의안내.zip’라는 압축파일 링크를 내걸었다. 해당 링크는 마이크로소프트의 윈도 원드라이브 파일로 연결돼 있었다.
전문가에게 해당 이메일을 분석 의뢰한 결과, 악성파일이 들어있었으며 북한 해킹 조직의 소행으로 추정됐다. 기존 북한 해킹 공격 사례의 TTP(Tactics, Techniques, Process)와 일치한다는 게 전문가의 설명이다.
원드라이브로 연결되는 압축파일에는 ‘2023북한인권보고서.pdf’, ‘제6차 UCOK학술회의안내.lnk’이 담겨 있었는데, 이 중 ‘제6차 UCOK학술회의안내.lnk’ 파일이 악성으로 분석됐다.
해당 이메일은 본지 기자 2명을 포함해 동국대학교 북한학과 교수, 사단법인 굿파머스연구소 임원 등 9명에게 발송된 것으로 확인됐다.
이밖에 최근 이와 유사한 방식의 다른 해킹 공격도 포착돼 주의가 요구된다.
실제 이달 초 데일리NK 대표를 사칭한 악성 이메일이 다른 NGO 활동가들에게 발송됐다.
해당 이메일에는 ‘북한인권단체 활동의 어려움과 활성화 방안 OOO 대표.zip’이라는 제목의 압축파일이 첨부돼 있었으며, 그 안에는 ‘북한인권단체 활동의 어려움과 활성화 방안 OOO 대표.chm’ 파일이 포함돼 있었다.
위의 두 사례에서 악성코드가 심어진 lnk 파일과 chm 파일은 각각 윈도 운영체제에서 사용되는 바로가기 파일과 도움말 파일이다. 전문가들은 lnk 파일과 chm 파일을 악용한 해킹 공격 가능성에 주의를 기울이고 의심스러운 파일은 열지 않도록 해야 한다고 강조하고 있다.
통합 보안 플랫폼 기업 지니언스가 23일 발표한 ‘위협보고 분석 보고서 : 북한인권단체를 사칭한 APT37 공격 사례’에서 “APT37(RedEyes, Group123, 금성121 등) 그룹명으로 알려진 북한 연계 위협 행위자가 국내 북한인권 분야의 단체장 정보로 위장해 또 다른 대북 분야 대표를 표적 삼아 악성파일을 담은 이메일 기반 스피어 피싱 공격을 수행했으며, 유사한 공격이 지속되고 있다”고 주의를 당부했다.
보고서는 “이들 그룹은 북한 정권에 유리한 첩보 입수 목적의 정찰 활동이 주요 임무 중에 하나”라며 “한국 내 공공 및 민간 분야를 가리지 않고 광범위한 해킹 활동을 전개 중”이라고 밝혔다.
