이번 이메일 자료에 발신자는 통일부 관계자처럼 보이도록 이메일 주소를 조작해 수신자를 현혹시켰는데 이는 북한 해커가 주로 사용하는 방식의 사이버 공격으로 알려져 있다고 RFA는 설명했다.
이번 사이버 공격은 비건 특별대표의 방한과 방북에 대한 관심이 높은 사회적 분위기를 이용해 이뤄졌다. 이번 공격이 시작된 지난 2월 3일은 비건 특별대표가 한국을 방문한 시점이었고, 한국과 북한의 설명절 연휴 기간이었다. 6일은 비건 특별대표가 평양을 도착한 시점이다. RFA는 "비건 특별대표의 행보에 이목이 집중됐을 시기에 해당 공격이 수행됐다"고 강조했다.
해당 문서를 열면 '비건 대표가 미북 비핵화 실무협상에 앞서 서울에서 협상전략을 최종조율 한다'는 등의 분석이 담겨있다고 RFA는 전했다.
해킹 공격자는 한국내 통일과 평화관련 분야에 종사하는 사람들을 대상으로 계정탈취 시도를 수행하면서 비건 특별대표 방한 관련 내용으로 현혹하고, 계정 탈취를 성공했을 경우 추가 악성코드 유포 등에 사용할 가능성이 높다고 RFA는 덧붙였다.
이번 비건 특별대표 관련 공격은 특정 표적에게만 보낸 스피어피싱(Spear Phishing) 유형으로, 이메일을 받아 링크를 클릭해 문서를 열람하면 자동으로 피싱 사이트가 열려 계정을 탈취하는 방식이라고 RFA는 설명했다.
아울러 이번 사이버 공격자는 지난해 한국 청와대를 사칭해 해킹 이메일을 보낸 조직으로 RFA는 추정했다.
박희준 기자 jacklondon@g-enews.com