"北해커, 신종 악성코드로 정보 분석기관 사이버 공격"

[이데일리 권오석 기자] 북한 해커들이 북한 관련 정보를 수집하고 분석하는 기관들을 겨냥해 새로운 `멀웨어`(Malware·악성코드)를 이용한 사이버 공격을 시도한 정황이 발견됐다.

지난 3월 김정은 국무위원장이 딸 ‘주애’와 함께 전술핵운용부대들의 ‘핵반격 가상 종합전술훈련’을 참관하고 있다. (사진=조선중앙통신)

10일 자유아시아방송(RFA) 보도에 따르면, 미국 사이버보안업체 ‘센티넬원’(SentinelOne)은 최근 북한 해킹 조직인 `김수키`가 북한 관련 정보나 현황을 다루고 분석하는 업체를 겨냥해 새로운 스피어 피싱(Spear Phishing) 활동을 벌였다고 밝혔다. 김수키는 2012년부터 활동한 북한 정찰총국 산하 해커조직으로, 전 세계 기관과 개인을 대상으로 사이버 공격 활동을 전개해 오고 있다.

해킹 수법의 하나인 스피어 피싱은 신뢰할 수 있는 개인이나 단체로 가장한 발신자가 특정대상에 표적화된 내용의 이메일을 발송해 악성코드를 퍼뜨리는 사이버 공격이다. 이번 스피어 피싱에서 북한 해커들은 ‘레콘샤크’(ReconShark)라고 불리는 새로운 멀웨어를 사용한 것으로 드러났다.

새 멀웨어는 북한 관련 정보를 다루는 ‘코리아리스크그룹’(Korea Risk Group, KRG) 관계자들에게 발송된 이메일에서 파악됐으며, 이는 김수키가 지난해 사이버 공격에서 사용하던 ‘베이비샤크’(BabyShark)라는 멀웨어의 변종인 것으로 밝혀졌다.

센티넬원은 김수키가 코리아리스크그룹 뿐 아니라 북미와 유럽, 아시아의 정부기관과 연구센터, 대학기관에 소속되어 있는 개인들에게도 해당 공격을 진행했다고 주장했다. 합법적으로 보이는 내용과 문구, 디자인 요소들을 사용해 이메일을 만들기 때문에 공격 대상자가 이를 열어볼 가능성이 높으며 악성문서가 첨부된 이메일에는 실존하는 인물의 이름을 사용한다는 것이다.

이 문서를 열 경우 수신자의 컴퓨터에 백도어(backdoor)가 설치되면서 원격으로 제어할 수 있기 때문에 개인정보에 접근이 가능해진다. 백도어 공격은 주인 몰래 뒷문으로 드나드는 것을 비유한 말로 보안 허점을 이용해 인증 절차 없이 공격 대상의 시스템에 접근해 가하는 공격을 뜻한다. 또 센티넬원은 이전에 발견됐던 베이비샤크와 다르게 레콘샤크는 정보를 훔치는 데 그치지 않고, 필요에 따라 악성 데이터를 심을 수 있다고 경고했다.