北 해킹조직 '김수키', 코로나19 사태 속 사이버전 확대

글자 작게 글자 크게 인쇄하기
게티이미지뱅크
<게티이미지뱅크>

코로나19 확산으로 사회가 어지러운 가운데 북한 해킹 조직이 사이버전을 확대하고 있어 주의가 요구된다. 북한은 최근 지속해 미사일을 발사하며 무력 시위도 하고 있다.

미 사이버 보안 기업 파이어아이는 2014년 한국수력원자력 도면 유출 사고 주범으로 지목된 북한 해킹 조직 '김수키'가 코로나19 이슈를 활용한 사이버 공격에 열을 올리고 있다고 밝혔다.

코로나19를 악용한 대남 해킹 시도는 지난달부터 꾸준히 포착됐다. 지난달 28일에는 국내 외교 관련 시민단체(NGO)를 겨냥해 스피어피싱 공격을 감행했다. 김수키는 코로나19 관련 재단 이사장 지시사항, 코로나19 대책 회의 등을 사칭해 악성 워드 문서(DOC)를 첨부, 이메일을 유포했다.

업계에 따르면 현재 관련 기관에서 이번 해킹에 대해 조사에 착수한 상태다. 김수키가 시민단체으로부터 정확히 어떤 정보를 수집하려고 했는지는 아직 파악되지 않았다.

파이어아이 측은 “(공격이 포착된 건 일부지만) 지금까지 공격 역사를 볼 때 김수키는 한국 내에서 정치·경제적으로 중요한 단체라면 어떤 곳이든 침해할 의지가 있는 조직”이라고 설명했다. 이어 “북한 해킹조직 가운데 코로나19를 공격 미끼로 쓰는 건 현재까지 김수키 밖에 없는 것으로 확인됐다”고 덧붙였다.

김수키는 코로나19에 쏠린 이목을 활용해 이용자가 악성 첨부파일을 열도록 유도한다. 감염 가능성을 끌어올려 피싱 캠페인 성공률을 높인다.

김수키 외에도 다양한 공격자가 코로나19를 발판 삼아 공격을 확대 중인 것으로 나타났다.

정부 지원을 받는 공격자는 첩보 목적에서, 사이버 범죄자는 금전 목적에서 코로나19를 미끼로 쓴다. 사이버 범죄자는 코로나19 정보를 사칭해 △이모텟 △트릭봇 △나노코어 △아조럴트 △폼북 △렘코스 원격접근툴(RAT) △에이전트테슬라 등 각종 멀웨어를 유포한다. 코로나19 인터랙티브 맵으로 위장한 멀웨어 로더를 판매한 사례도 포착됐다.

파이어아이 측은 “코로나19를 악용한 수많은 스피어피싱 공격이 등장하고 있다”면서 “이용자는 이메일 첨부파일 클릭 시 각별히 유의해야 한다”고 경고했다. 이어 “코로나19 정보 확인 시 정부가 제공하는 웹사이트 등 신뢰할 수 있는 자원을 활용할 것, 이메일 회신 시 개인정보와 금융정보는 기입하지 말 것, 기부 전 단체 신뢰성을 확인할 것” 등을 조언했다.

특히 한국 이용자에게는 “코로나19 사태로 인한 공포와 불신을 악용해 의료, 정부, 경제 등 영역에 공격이 강화될 것으로 예상된다”면서 “이메일에 첨부된 문서와 안내문 등을 열기 전에 공식 기관에서 나온 자료인지 확인하고 여러 뉴스 채널을 통해 정보를 교차 확인해야 한다”고 당부했다.

오다인기자 ohdain@etnews.com