'대선 사이버 위협' 현실화되나…北해커들, 선관위 사칭 스피어 피싱

[이데일리 김국배 기자] 20대 대선을 한 달 앞두고 북한으로 추정되는 해커 조직이 중앙선거관리위원회를 사칭해 스피어 피싱 메일을 유포한 정황이 포착됐다. 대선을 겨냥한 북한의 사이버 위협이 현실화되기 시작했다는 분석이 나온다.

(사진=이슈메이커스랩)

8일 북한 해킹을 추적해온 민간 단체 이슈메이커스랩에 따르면 전날 오전 선관위를 가장해 오는 12일까지 선거권자 개표 참관인을 공개 모집한다는 내용을 담은 스피어 피싱 메일이 뿌려졌다. 실제로도 같은 날 오전 9시께 선관위 측에서 이런 내용의 보도자료를 배포하기도 했는데, 불과 몇 시간 뒤 같은 내용을 미끼로 한 공격이 일어난 것이다.

선관위 관계자는 이날 이데일리와의 통화에서 “해당 자료는 언론사 외에는 발송된 적 없고, 홈페이지에만 올려놓은 상태”라고 말했다.

스피어 피싱은 사전에 타깃을 정해 작살로 찍어내듯 정밀 타격한단 의미가 담긴 해킹 기법이다. 언론사 기자들을 타깃으로 삼았을 가능성을 배제할 수 없다. 첨부된 한글(hwp) 문서를 실행할 경우, 악성 객체 연결(OLE) 기능이 동작하며 특정 서버에서 추가 악성코드가 다운로드돼 정보가 탈취될 수 있다. OLE는 원래 한글 문서에서 다른 프로그램도 이용하며 문서를 작성할 수 있게 해주는 기능이다.

파이어아이(현 트렐릭스), 카스퍼스키랩 등 글로벌 사이버 보안업체가 ‘APT37’이라 이름붙인 북한 해커 조직이 이번 공격의 배후로 추정된다. 2012년부터 활동해온 이 조직은 북한의 군사 전략, 정치·경제적 이익을 위한 첩보 수집 활동을 해왔다. 이른바 ‘제로데이’ 취약점을 직접 찾아 공격에 악용할 정도로 역량이 뛰어난 것으로 알려져 있다. 초기 침투에 스피어 피싱 수법을 쓴다.

보안업계에서는 올해 대선이 예정돼 있는 만큼 이를 겨냥한 사이버 공격이 늘어날 것으로 예상해왔다. 안랩은 지난해 12월 ‘2022년 5대 사이버 위협 전망’을 발표하면서 올해 대선 등 정치적·사회적 이벤트를 악용한 사이버 공격이 활개를 칠 것으로 전망했다.

국민적으로 관심이 높은 이벤트를 악용해 스피어 피싱 메일을 보내거나 랜섬웨어 공격을 가할 수 있다는 예상이었다. 이슈메이커스랩을 운영하는 최상명 NSHC 수석 연구원은 “대선을 겨냥한 북한의 사이버 위협이 현실화했다”고 지적했다.