지난 2014년 한국수력원자력을 공격한 북한의 해킹 그룹 김수키(Kimsuky)의 피싱 공격이 지난달에 이어 또다시 포착됐다. 북한 추정 해커의 사이버 공격은 통일부 기자단 피싱 공격 등 확인된 것만 해도 올해 총 10건에 달한다. 발견이 쉽지 않은 사이버공격의 특성상 실제로는 더 많은 공격이 이뤄졌을 가능성도 배제할 수 없다.
이스트시큐리티 시큐리티대응센터(ESRC)는 3일 “지난 1일 ‘최근 한반도 관련 주요국 동향’이라는 내용과 ‘3.17 미국의 편타곤 비밀 국가안보회의’ 등의 내용의 스피어 피싱(Spear Phishing) 공격을 확인했다”며 “이번 지능형 지속위협(APT) 공격을 받은 곳은 주로 외교·안보·통일 분야 및 대북·탈북 단체들”이라고 밝혔다.
미국 국방부 건물 펜타곤(PENTAGON)을 연상하게끔 하는 ‘편타곤’이라는 오탈자를 사용하는 등 교묘한 수법으로 공격대상자를 속이려했던 것으로 보인다.
특히 ESRC는 “한국의 특정 분야에 속한 사람들만 표적화해 해킹용 이메일을 발송한 정황이 포착됐다”며 “지난달 21일 국내 공공·민간기관의 정책을 연구하는 웹 사이트와 남북통일을 연구하는 특정 학술단체의 홈페이지를 해킹한 위협조직에 의해 진행됐다”고 말했다.
지난달 21일 국내 특정 통일, 외교 안보 연구 학술단체의 홈페이지는 북한 해커 조직으로 알려진 ‘김수키(Kimsuky)’에 의해 해킹된 바 있다.
‘김수키’는 지난 2014년 한국수력원자력을 공격한 해커 조직으로, 당시 정부합동수사단은 해킹에 사용된 인터넷 접속 IP 중 5개가 북한 체신성에서 할당됐다고 발표한 바 있다.
한편, 북한 추정 해커의 공격이 갈수록 진화하고 있는 것으로 보인다는 평가도 나왔다.
ESRC는 “이번 공격은 보안 레이더에서 탐지하기 어려울 정도의 암호화된 침투기능을 활용했다”며 “기존 김수키 조직이 사용하던 방식에서 한단계 더 진화됐다”고 밝혔다.
해커가 한글 프로그램에 암호화 기능을 적용해 보안프로그램이 악성여부를 파악하는 데 어려움을 겪도록 하고 있다는 것이다. 실제 이번 공격에 사용된 악성코드는 구글의 바이러스토탈 (악성파일, URL 등을 분석하는 웹사이트)기준으로 전세계 59개 백신 엔진 중 하나 밖에 탐지하지 못하고 있다.(4월 3일 15시 기준)
특히 이번 해킹공격에서는 발신지 이메일 주소를 교묘히 조작해 보내는가 하면, 공격대상자가 해킹 이메일 원문을 외부에 신고 또는 제보하지 못하도록 삭제를 유도하는 등의 지능화된 공격 패턴이 나타나기도 했다.
이메일 발신자 주소 조작은 기술적으로 전혀 불가능한 것이 아니기 때문에 기존에 알고 있던 이메일 주소도 지속적으로 의심해볼 필요가 있다는 게 전문가들의 조언이다.
문종현 ESRC 이사는 이날 데일리NK에 “해커가 직접 이메일 서버를 구축할 경우 발신자의 이메일 주소를 충분히 조작할 수 있다”며 “이메일 주소만 보면 마치 알고 있던 사람이 발송한 것처럼 보여 쉽게 속을 수 있다”고 주의를 당부했다.
이어 문 이사는 “스피어 피싱 이메일을 예방하기 위해서는 일차적으로 발신자 체크를 하는 것이 중요하지만 발신자가 조작된 경우, 육안상 바로 확인할 방법이 없다”며 “지인에게 이메일을 받더라도 꼼꼼히 확인해 수상한 점이 발견되면 발신자에게 직접 확인한 후 열람하는 것이 피해를 예방할 수 있는 방법”이라고 덧붙였다.
