북한, 대북제재·코로나19 악재 속 사이버공격 '총력'

게티이미지뱅크
게티이미지뱅크

북한 정부가 사이버공격에 사활을 건 모습이다. 대북제재와 코로나19 악재가 겹치면서 사이버 영역에서 움직임이 활발하다.

북한 해킹조직은 기존 사이버 전술을 고도화하고 정보 수집 역량을 강화했다. 이스트시큐리티 시큐리티대응센터(ESRC)는 해킹조직 '김수키'가 워드(doc) 문서뿐만 아니라 한글(hwp) 문서와 실행파일(exe)까지 복합적으로 활용해 새로운 공격을 시도했다고 밝혔다.

'김수키'는 공격 대상에 따라 공격 방식을 바꾸는 것으로 파악됐다. 문서 내용으로는 북한 코로나19 상황 인터뷰, 드론 현황과 개선방안 등을 사칭했다. 이용자가 알아차리기 어렵지만 사실 정보를 유출하는 악성 문서다.

문서 파일이 아닌 보안 프로그램으로 위장, 실행파일을 그대로 유포하는 대담함도 보였다. 지난 4월 제작된 악성 실행파일은 복호화 프로그램으로 위장했다. 실행 시 복호화 화면을 보여주지만 명령제어(C2) 서버와 통신, 정보를 빼돌린다.

'김수키'는 북한 정부가 배후로 추정된다. 주로 국내 안보·통일 관계자를 겨냥해 정보를 탈취하는 '스피어피싱'을 구사한다. 지난달 말에는 미국 소재 북한인권위원회(HRNK)와 전미북한위원회(NCNK)를 겨냥해 지능형지속위협(APT) 공격을 펼쳤다. 조지워싱턴대 한국학연구소 직원이 보낸 것처럼 속여 북한인권위원회 사무총장에게 악성 이메일을 보냈다.

그렉 스칼라튜 북한인권위원회 사무총장은 자유아시아방송(RFA)을 통해 “북한은 1980년대부터 형산 산맥 지역에 미림대학을 세우고 매년 해커 100명을 모집해 다른 나라를 사이버테러로 위협하도록 훈련시켜 왔다”면서 “김정은 정권 유지를 위해 북한 주민을 인터넷에서 고립시키고 불법 행위를 하는 컴퓨터 전문가만 양성한다”고 비판했다.

북한인권위원회는 국제연합(UN) 협의적 지위를 가진 단체다. 북한 인권 상황을 조사해 UN 등 국제사회에 알린다. 7년 전 UN에서 북한 인권조사위원회 설치 표결을 하기 전날에도 '김수키'로부터 해킹 공격을 받은 바 있다. 전미북한위원회 역시 대북 지원을 수행하는 조직이다.

미국 스탠퍼드대 국제안보협력센터(CISAC) 문서로 위장한 악성 파일도 최근 발견됐다. 이 센터는 2004년 북한 영변 핵시설을 사찰했던 미국 핵 전문가 지그프리드 해커 박사가 소장으로 재임했던 곳이다. 국제 안보와 핵 관계자를 겨냥한 것으로 분석됐다. 배후로는 북한 내 또 다른 해킹조직 '코니'가 지목됐다. '코니' 역시 APT 공격을 수행한다.

북한 해킹조직 '라자루스'는 암호화폐 거래소 관계자를 대상으로 공격하다가 최근 국내 증권사 직원을 공격하기도 했다.

ESRC는 최근 발견한 몇 가지 사례 외에도 이들 소행으로 지목되는 공격이 다양하게 나타났다고 경고했다. 국내 방위산업체와 외교·안보·대북 관계자가 집중 공격을 받았다.

문종현 ESRC 센터장은 “체계적인 대응과 국가 사이버안보에 대한 투자가 필요한 시점”이라고 강조했다.

오다인기자 ohdain@etnews.com