‘비건 방한 분석’ 위장한 북 추정 사이버 공격 포착

[글로벌이코노믹 박희준 기자] 스티븐 비건 미국 국무부 대북정책 특별대표의 최근 남북한 방문을 계기로 북한 추정 해커들이 한국 정부기관을 사칭해 계정 탈취를 시도하는 사이버 공격을 감행했다는 보도가 나왔다.


자유아시아방송(RFA)은 해킹 공격용 이메일 자료를 확보해 조사한 결과, 비건 특별대표의 방한 관련 내용을 포함한 한글문서를 보여주면서 계정 탈취를 시도하는 지능형지속위협(APT) 유형의 사이버 공격이 지난 3일부터 포착됐다고 8일 보도했다.

이번 이메일 자료에 발신자는 통일부 관계자처럼 보이도록 이메일 주소를 조작해 수신자를 현혹시켰는데 이는 북한 해커가 주로 사용하는 방식의 사이버 공격으로 알려져 있다고 RFA는 설명했다.

이번 사이버 공격은 비건 특별대표의 방한과 방북에 대한 관심이 높은 사회적 분위기를 이용해 이뤄졌다. 이번 공격이 시작된 지난 2월 3일은 비건 특별대표가 한국을 방문한 시점이었고, 한국과 북한의 설명절 연휴 기간이었다. 6일은 비건 특별대표가 평양을 도착한 시점이다. RFA는 "비건 특별대표의 행보에 이목이 집중됐을 시기에 해당 공격이 수행됐다"고 강조했다.

해당 문서를 열면 '비건 대표가 미북 비핵화 실무협상에 앞서 서울에서 협상전략을 최종조율 한다'는 등의 분석이 담겨있다고 RFA는 전했다.

해킹 공격자는 한국내 통일과 평화관련 분야에 종사하는 사람들을 대상으로 계정탈취 시도를 수행하면서 비건 특별대표 방한 관련 내용으로 현혹하고, 계정 탈취를 성공했을 경우 추가 악성코드 유포 등에 사용할 가능성이 높다고 RFA는 덧붙였다.

이번 비건 특별대표 관련 공격은 특정 표적에게만 보낸 스피어피싱(Spear Phishing) 유형으로, 이메일을 받아 링크를 클릭해 문서를 열람하면 자동으로 피싱 사이트가 열려 계정을 탈취하는 방식이라고 RFA는 설명했다.
북한과 연계된 것으로 추정되는 해커들은 이번 표적 공격을 한국의 통일 및 남북평화 활동 단체와 개인을 대상으로 감행했으며, 공격에 사용된 서버는 한국 대전 지역에 위치한 반도체 장비 제품 등을 판매하는 N모 기업의 웹사이트로, 이 웹사이트가 북한 추정 해커로부터 해킹돼 악용됐다고 RFA는 전했다.

아울러 이번 사이버 공격자는 지난해 한국 청와대를 사칭해 해킹 이메일을 보낸 조직으로 RFA는 추정했다.


박희준 기자 jacklondon@g-enews.com