북한이 전인범 전 특전사령관과 최정훈 탈북의사(고려대 교수)를 겨냥해 해킹 공격을 펼친 것으로 확인됐다. 안보와 대북 전문가를 노린 북측 해킹 공격이 양적, 질적으로 진화했다는 평가다.
전 전 사령관과 최 교수는 최근 KBS 북한 전문 프로그램 '남북의창' 작가 A씨를 사칭한 이메일을 각각 받았다. A씨는 '남북의창' 실제 작가이며 A씨가 실제 사용하는 이메일 주소가 스피어피싱에 악용됐다.
A씨에 따르면 공격자는 지난 5월 A씨가 이메일 보안을 강화하기 전 A씨 이메일 계정에 직접 침투, 스피어피싱을 유포했다. 이메일 계정에 이중 보안이 설정된 이후에는 허위 도메인을 만들어 공격을 지속했다. A씨는 “북한 분야 학자와 연락할 일이 많은데 이 사건 이후 '사전에 전화하지 않고 인터뷰를 요청하는 경우는 없다'고 고지했다”고 말했다.
A씨를 사칭한 스피어피싱 이메일은 각기 다른 시기에 발송됐다. 전 전 사령관에게는 7월 북한 담화 관련 인터뷰를, 최 교수에게는 6월 볼턴 회고록 관련 인터뷰를 사칭했다. 내용은 공격 대상별로 다르게 꾸몄다. 자료 참고용 구글 드라이브 링크를 삽입하고 클릭 시 '대북 인식 변화' '국정원장' 등 공격 대상이 관심 가질 만한 PDF 문서를 노출했다.
전 전 사령관은 “이메일을 받은 시기는 마침 '남북의창'에서 유엔군사령부 문제가 다뤄지던 때”라면서 “평소 해킹 공격을 의심하지 못했다면 자칫 속을 뻔했다”고 말했다. 전 전 사령관은 2013년 유엔군사령부 군사정전위원회 한국군 수석대표 겸 한미연합군사령부 부참모장을 역임했다. 현재 한국자유총연맹 부총재로 재임, 공격자는 이메일 제목과 도입부에 '부총재님'이라고 명명하는 치밀함을 보였다.
최 교수 역시 공격을 의심해 추가 피해는 없었다고 밝혔다. 최 교수는 북한 청진의대를 졸업한 뒤 감염병 대응을 담당했던 북한 출신 의사다. 최 교수는 “지난달에도 이와 비슷한 이메일이 들어오는 등 피싱 공격을 지속 받는 상황”이라면서 “올해 들어 북한 코로나19 대응 현황에 관해 대외 발언을 하다 보니 공격 횟수가 늘어난 것 같다”고 말했다.
본지가 보안 전문가에게 의뢰해 이메일 두 건을 분석한 결과 동일한 북한 해킹조직 소행인 것으로 드러났다.
문종현 이스트시큐리티 시큐리티대응센터(ESRC) 센터장은 “전 전 사령관과 최 교수에게 스피어피싱 이메일을 보낸 공격자는 같은 해킹조직에 의한 것”이라면서 “해킹조직 '탈륨'이 배후”라고 지목했다. '탈륨'은 2014년 한국수력원자력 해킹 배후 '김수키'와 연관성이 높으며 북한 정부가 후원하는 것으로 알려졌다.
두 사람에게 발송된 이메일 명령제어(C2) 서버는 '탈륨'이 사용하는 C2 서버와 동일하게 조사됐다. 문 센터장은 “다른 '탈륨' 사건에서 분석된 이메일 주소와 이들 이메일 주소가 100% 일치한다”면서 “이들 이메일은 최종적으로는 정상 PDF 파일이 나타나지만 그 과정에서 피싱을 시도하고 계정 정보가 유출되면 실제 구글 드라이브로 연결하는 구조”라고 말했다.
오다인기자 ohdain@etnews.com
