북한 해킹 조직이 본지 탈북민 기자를 상대로 피싱(Phishing) 공격을 시도했다. 이번 공격은 사용자의 개인정보 탈취와 향후 공격을 염두한 사전 준비 작업인 것으로 파악됐다.
우선 지난달 20일 본지 소속 기자는 ‘엄마 미안하고 감사해요’라는 제목의 이메일을 수신했다. 이메일에는 “성나셨나요? 설날에 홀로 지내는 줄 알면서도 찾아뵙지 않은 이기적인 아들을 용서하세요. 사랑해요. 주안 드림”이라는 내용이 담겨있었다.
북한 관련 정보를 매개로 파일을 열게 만드는 기존과는 다른 공격 방식이다. 북한 관련 정보를 매개로 했을 시 사용자의 경계심이 높아져 공격 성공률이 낮아지자 ‘오발송’ ‘호기심’을 미끼로 공격을 시도하는 것으로 보인다.
하지만 이메일을 자세히 들여다 본 결과 몇 가지 수상한 점을 발견할 수 있었다.
우선은 이메일을 통해 본인을 ‘주안’이라고 밝혔으나 발신자명은 ‘김정주’였다. 두번째 메일 역시 ‘김정주’였으나 세번째 메일은 ‘김주안’으로 변경해 보냈다. 세 개의 이메일 주소는 모두 같았다. 해커가 투트랙 스피어 피싱 이메일을 준비하면서 발신자명을 제대로 확인하지 않고 보낸 것으로 보인다. 세 번째 메일에서야 발견하고 이를 수정했을 가능성이 있다.
또한, 이메일에 사용된 문장에 북한식 표현과 영문이름 표기가 발견됐다.
첫 번째 이메일을 받고 ‘잘못보낸 것 같다’는 답장을 보내자 “제가 그만 섞갈렸네요. 너무 엇비슷해서, 너무 미안하고 사려깊은 회답에 감사합니다”는 회신이 왔다.
이메일에서 사용된 ‘섞갈렸다’는 주로 북한에서 사용되는 용어라는 것이 본지 탈북 기자의 설명이다. 국내에서는 ‘섞갈렸다’는 표현보다 ‘헛갈리다’는 단어를 주로 사용한다.
두 번째 메일 소스에는 ‘rijunhyok’이라는 북한식 이름의 영어표현도 발견됐다. 한국인의 경우 이씨 성을 표현할 때 보통 ‘Lee’를 쓰지만 북한은 ‘Ri’를 사용한다. 북한식 영어 표현에 익숙한 해커가 이메일을 보냈 것으로 추정된다.
여기에 해커가 첫번째와 두번째 이메일에 접속여부를 파악하기 위한 비콘(Beacon)을 보이지 않게 첨부한 것도 확인됐다. 향후에 추가 공격이 가능할지 여부를 가늠해보기 위한 용도라고 볼 수 있다.
해커는 이미 이메일을 잘못보냈다는 회신에도 불구하고 세번째 메일을 보냈고 여기에는 지금까지 없었던 ‘사랑해요 엄마.HWP’라는 한글파일이 첨부돼 있었다. 한글 문서는 자녀가 어머니를 생각하고 쓴 감동의 편지였다.
하지만 문서의 이면에는 해커의 악성코드가 있었다. 이 파일을 실행하면 해커가 사전에 설정한 구글 드라이브에서 악성코드가 사용자의 컴퓨터로 다운로드 된다. 악성코드에 감염되면 컴퓨터 내의 모든 사용자 정보가 해커에게 탈취된다.
이와 관련해 문종현 이스트시큐리티 ESRC(시큐리티대응센터) 이사는 3일 데일리NK에 “이번 피싱 공격은 금성121이 사용하던 방식과 일치한다”며 “한글 프로그램과 한컴오피스에 임의코드가 실행되는 보안 취약점을 노린 공격이다”고 말했다.
금성121은 북한 해킹조직으로 알려졌으며 대북단체 활동가, 기자, 정치인 등을 대상으로 공격을 수행해왔다. 과거 이들이 이용했던 IP중 일부가 평양시 류경동으로 확인된 바 있다.
문 이사는 “악성코드가 실행되면 PC가 공격자에 의해 원격 조종이 가능한 일명 ‘좀비PC’가 된다”며 “한컴 오피스를 최신 버전으로 업데이트하면 예방이 가능하다”고 당부했다.
