[보안 따라잡기]갈수록 진화하는 北 해킹 공격…위협 고조

(그래픽=알약 블로그 화면 캡처)

[이데일리 이후섭 기자] 북한을 배후로 둔 것으로 추정되는 해킹 조직의 사이버 공격이 새해에도 기승을 부리고 있다. 국내에서는 탈륨 조직이 코로나19 뿐만 아니라 북한 관련 문서, 주식 메신저 등 사회적 이슈를 악용해 악성코드를 유포하려는 시도를 이어가고 있고, 해외 사이버보안 전문가들에게 접근해 해킹 기술을 탈취하려고 했던 정황이 발견되기도 했다.

13일 보안 전문기업 이스트시큐리티에 따르면 최근 탈륨 조직이 이메일에 △북한 제8차 당대회 평가 △당대회 결론 등의 악성 파일을 첨부해 감염을 유도한 흔적을 발견했다.

탈륨 조직은 지난 2019년 12월 미국 마이크로소프트(MS)가 버지니아주 연방법원에 정식으로 고소장을 제출하면서 국제사회에 알려진 해킹 조직으로, 국내에서는 방위산업체를 포함해 대북 연구 분야 종사자와 탈북민, 북한 관련 취재 기자들을 집중 공격하고 있다. 지난해 하반기에는 가상자산 거래소 해킹 뿐만 아니라 국내 가상자산 거래 관련 지갑(월렛) 정보를 노린 공급망 공격을 가했으며, 올 들어서는 주식 정보 제공용 메신저의 정식 사이트에 있는 프로그램을 악성파일로 바꿔치기하는 공격을 시도했다.

또 미국 바이든 행정부 출범 기획 설문지로 위장한 해킹 공격과 코로나19 대응을 위한 기부금 영수증 발급 신청서 문서로 사칭한 해킹 공격까지 각종 사회 이슈로 교묘하게 위장한 이메일을 보내고 있는 상황이다.

탈륨 조직이 최근 북한 제8차 당대회 평가내용 문서로 위장해 악성코드를 유포하는 공격을 시도한 정황이 발견됐다.(자료=알약 블로그 화면 캡처)

해외에서도 북한 해킹 조직의 공격이 활발하게 일어나고 있다. 최근 구글의 위협분석그룹(TAG)은 북한 해커들이 글로벌 사이버 보안 전문가들에게 접근해 해킹 공격을 시도했다고 밝혔다. 트위터, 텔레그램 등에서 사이버 보안 전문가로 위장한 가짜 소셜네트워크서비스(SNS) 계정을 만들어 진짜 전문가들에게 보안 취약성 공동 연구를 제안하는 방식으로 접근한 것이다.

만약 보안 전문가가 공동 연구를 수락하면 악성코드가 심어져 있는 프로그램을 보내 연구자들의 컴퓨터를 해킹하려 했고, 보안 연구자들에게 특정 블로그에 접속하도록 유인해 악성코드를 심으려고 한 행위도 발견됐다. 이를 통해 보안 전문가들의 연구 자료를 탈취해 해킹 기술을 고도화시키려 한 것으로 보인다.

최근 탈륨 조직이 러시아 모스크바에 있는 러시아 과학원 극동 연구소의 한국학 센터 선임 연구원을 상대로 이메일 해킹 공격 시도 정황이 발견되기도 했다. 해당 연구원은 북한 경제, 북한의 대외 경제 관계, 남북 경제 관계, 러시아와 북한 및 한국 경제 관계 등을 주로 연구한 연구원으로. 이번 공격은 국내외 대북분야를 포함한 국방·외교·안보·통일 등 관련된 연구 종사자들에 대한 공격의 연장선으로 볼 수 있다.

북한 해킹 조직들의 전방위적인 공격이 계속되고 있어 각별한 주의가 요구된다. 특히 코로나19 확산에 따라 엄격한 봉쇄 조치를 취하면서 경제적인 자금 조달을 위해 해킹에 의존하고 있다는 조언도 나온다. 최근 외신에 따르면 유엔 안전보장이사회(이사회)에 제출된 보고서에는 북한이 배후에서 해킹을 통해 금융기관과 가상통화 거래소의 자금을 빼돌려 핵과 미사일 개발에 사용하고 있다는 분석이 담기기도 했다. 지난 2019년부터 2020년 11월까지 해킹에 따른 수입은 3억1640만달러(약 3500억원)에 달했다고 보고서는 추산했다.

보안업계 관계자는 “북한 해킹 조직은 거의 매일 사이버 첩보전을 수행하고 있다 해도 전혀 과언이 아닐 정도로 위협이 고조되고 있다”고 판단했다.