침해사고/위협동향

끊이지 않는 北 소행 추정 해킹··· 이번에는 통일부 사칭 악성 이메일 전파

이종현
[디지털데일리 이종현기자] 13개월 만에 복원한 남북 통신연락선이 한미연합훈련으로 나흘째 연락이 두절되며 긴장이 고조되는 가운데 북한 소행으로 추정되는 사이버공격이 발견됐다.

13일 보안기업 이스트시큐리티는 통일부 직원의 업무 메일을 사칭한 지능형지속위협(APT)이 발견됐다고 밝혔다. 통일부 정착지원과의 사무관을 사칭해 악성 이메일을 전파한 것이다.

국내 대북 분야 종사자를 대상으로 발송된 악성 이메일에는 ‘최근 유명 인사를 노린 사이버 공격이 전방위로 진행되고 있어 안전에 유의를 부탁한다’는 내용과 함께 ‘210811_업무연락(사이버안전).doc’라는 이름의 문서파일이 첨부됐다.

해당 메일에 첨부된 문서는 악성파일이다. 문서파일 내부에 악성 매크로 코드가 숨겨져 있다. ‘콘텐츠 사용’을 누르면 추가 악성명령을 수행한다. 국내 특정 고시학원의 사이트 서버를 탈취해 명령제어서버(C2)로 활용한 것으로 추정된다는 것이 이스트시큐리티 시큐리티대응센터(ESRC)의 분석이다.

공격자로 추정되는 것은 북한의 해킹조직 ‘탈륨’이다. 또다른 이름으로는 ‘김수키’로 활동하고 있다. 해당 조직은 2014년 한국수력원자원을 공격한 곳으로, 2019년 미국 정부부처 공무원과 싱크탱크 등을 공격한 혐의로 마이크로소프트(MS)로부터 고소된 바 있다. 미국 정부는 탈륨을 APT 공격 활성도가 높은 ‘주요 위협 행위자(Threat Actor)’로 등록했다.

ESRC는 탈륨 조직이 최근 PDF 파일 취약점을 악용하는 신종 수법도 사용하고 있는 만큼 관련 프로그램을 최신 버전으로 업데이트하는 등의 보안 수칙 준수를 당부했다.

이스트시큐리티 ESRC센터장 문종현 이사는 “현재 북한 연계 해킹 조직의 대남 사이버 공작 활동이 예사롭지 않다. 외교·안보·국방·통일 및 대북 분야에서 활동하는 고위 유력인사를 집중 겨냥해 공격을 수행하고 있다”며 “이메일로 PDF, DOC 형식의 문서를 전달받을 경우, 문서를 열어보기 전 이메일 발신자에 전화 등을 통해 실제 발송 여부를 확인하는 것이 중요하다”고 말했다.

이번 공격 외에도 북한 소행으로 추정되는 사이버공격은 활발하게 이뤄지고 있다. 지난 6월 확인된 한국원자력연구원, 한국항공우주(KAI) 등의 공격도 북한 해킹조직의 소행으로 알려졌다.

대만 사이버보안 인텔리전스 업체 팀티파이브는 원자력연구원의 공격자로 김수키를, 미국 보안기업 파이어아이는 KAI의 공격자로 북한 해킹조직 ‘안다리엘’을 꼽았다. 국내 보안기업들도 북한을 배후로 지목했다.

다만 북한은 이와 같은 의혹을 부인 중이다. 지난 7월 북한 선전매체 ‘우리민족끼리’에는 북한 공격으로 의심된다는 내용에 대해 “황당무계한 모략”이라며 “북한 해킹설은 동족에 대한 불신과 대결 분위기를 조장해 정권 탈환에 유리한 환경을 마련해 보려는 현대판 양치기소년극에 지나지 않는다”는 내용의 논평이 게재됐다.

이에 대해 국내 보안업계 관계자는 “북한 소행으로 확신한다”고 답했다. 국가정보원도 해당 공격을 북한 소행으로 추정하고 있다. 지난 7월 박지원 국가정보원장은 국회 정보위원회 전체회의에서 “해킹 수법을 고려할 때 북한 연계 조직으로 추정된다”고 보고한 바 있다.

한편 국가정보원과 과학기술정보통신부는 지속되는 사이버공격 증가세에 사이버 위기 경보를 ‘관심’으로 상향했다. 위기 경보 상향에 따라 공공과 민간 모두 보안 상향을 위한 비상근무체계에 돌입한 상태다.
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널