국내 탈북민단체 대표를 사칭한 해킹 공격이 포착돼 관련 분야 종사자, 관계자들의 주의가 요구된다.
이광백 데일리NK·국민통일방송 대표는 지난 29일 ‘[긴급] [보도자료] 탈북청년 강제 북송, 16명 살인사건 조작 및 허위사실 유포 고발 기자회견’이라는 제목의 이메일을 수신했다.
해당 이메일은 국내 한 탈북민단체 대표의 이름으로 발송됐으며, 그 안에는 언뜻 첨부파일인 것처럼 보이는 원드라이브 링크가 포함돼 있었다.
이를 전문가에게 분석 의뢰한 결과, 보도자료로 위장한 악성파일이라는 점이 확인됐다. 북한 연계 해킹 조직이 사용하는 전형적인 공격 수법으로, 실제 북한 정찰총국 산하 해킹 조직으로 알려진 APT37은 원드라이브 API(Application Programming Interface)와 바로가기(LNK) 확장자 파일을 공격에 활용하고 있다.
이메일 수신자가 파일을 다운로드하기 위해 링크를 누르면 실제 문서가 나타나기 때문에 해킹 공격을 당했다는 사실을 인지하기 어렵다.
그러는 사이 악성파일 속 코드가 작동하는데, 그렇게 되면 이메일 수신자의 컴퓨터가 스캔되고 문서파일이 해커에게 전송된다. 이후 원격제어 모듈이 설치돼 해커가 해당 컴퓨터 정보를 지속 탈취하거나 2차 공격 대상자를 물색할 수 있게 된다.
이 같은 해킹 공격은 동시다발적으로 진행된 것으로 파악됐다.
실제 안명옥 국민통일방송 공동대표는 같은 날 ‘제20회 북한자유주간에 초대합니다’라는 제목의 이메일을 수신했다. 해당 이메일의 발신자도 앞선 이메일 발신자와 똑같은 탈북민단체 대표다. 하루 동안 탈북민단체 대표를 사칭한 공격이 여러 차례 발생한 것이다.
이메일에는 ‘[제20회 북한자유주간]에 초대합니다’, ‘일정과 참가자 명단 첨부하오니 참고해주세요’라는 내용이 담겨있다.
그리고 앞선 이메일과 마찬가지로 첨부파일처럼 보이는 원드라이브 링크가 포함됐다. 이 링크를 누르면 실제 행사 일정과 참가자 명단이 떠 정상적인 파일로 착각하게 하지만, 보이지 않는 곳에서는 악성코드가 작동해 컴퓨터 내 정보가 탈취되고 원격제어 모듈이 설치된다.
특히 두 이메일 모두 데일리NK 영문 공식 이메일을 비롯해 북한인권단체 관계자, 정부 공식 이메일(@korea.kr), 국방부 이메일(@mnd.go.kr), 북한 연구학자 등 다수에게 발송된 것으로 확인됐다.
해킹 공격이 점차 교묘해지고 있는 만큼 전문가들은 이메일에 포함된 첨부파일이나 링크를 열기 전에 반드시 악성파일인지 의심해야 한다고 당부하고 있다.
수상쩍은 메일을 수신했다면 이메일에 포함된 첨부파일에 마우스 커서를 올려보자. 그러면 브라우저 좌측 하단에 첨부파일과 연결된 나오는데, 이때 링크가 ‘api.onedrive[.]com’와 같은 형태로 나온다면 해킹을 의심해야 한다.
만약 링크를 눌러 다운로드했다면 파일의 확장자가 LNK인지, 용량이 비정상적으로 크지는 않은지 살펴보는 것이 좋다. 해킹 공격에 이용되는 LNK 파일은 불필요한 데이터가 포함돼 있어 대용량이라는 특징이 있다.
