“‘스티븐 비건 서신’ 위장 북 추정 사이버 공격 포착”
“‘스티븐 비건 서신’ 위장 북 추정 사이버 공격 포착”
  • 김한솔 기자
  • 승인 2020.03.05
  • 댓글 0
이 기사를 공유합니다

워드문서처럼 위장한 파일을 실행 후 영문으로 된 ‘2020 한반도 시나리오’(Scenarios for the Korean peninsula 2020)라는 분석 자료가 보여지는 화면.
워드문서처럼 위장한 파일을 실행 후 영문으로 된 ‘2020 한반도 시나리오’(Scenarios for the Korean peninsula 2020)라는 분석 자료가 보여지는 화면. /이스트시큐리티. RFA사진 캡쳐

북한 추정 해커들이 미국 국무부 스티븐 비건 부장관 서신으로 위장한 워드 문서파일로 사이버 공격을 감행했다고 RFA(자유아시아방송)가 3일(현지시간) 보도했다. 

한국의 외교·안보·국방·통일 등과 관련된 정보를 탈취하는 ‘김수키’의 소행으로 추정되는 사이버 공격이 또 다시 포착된 것이다. 

‘김수키’는 북한의 해킹 조직으로 알려져 있다. 지난 2014년 한국의 수사당국은 한국의 전력, 발전 분야의 공기업인 한국수력원자력을 해킹한 조직으로 ‘김수키’를 지목한 바 있다.

한국 내 민간 보안업체인 이스트시큐리티는 3일 미국 국무부 스티븐 비건의 서신 워드문서로 위장해, 특정 관계자의 정보를 노린 ‘지능형지속위협’(APT) 방식의 사이버 공격이 포착됐다고 밝혔다.

또 이번 워드문서의 파일명과 제목을 각각 ‘비건 미국 국무부 부장관 서신 20200302.doc’과 ‘비건 미 국무부 부장관 서신’으로 제작해, 전자우편 수신자를 현혹시켰다.

이는 북한 해커가 주로 사용하는 방식의 사이버 공격으로 알려져 있다.

마치 워드 문서처럼 위장한 이 파일을 실행하면, 실제 영문으로 된 ‘2020 한반도 시나리오’(Scenarios for the Korean peninsula 2020)라는 분석 자료 화면이 나타난다. (사진참고)

하지만 실제로는 이 문서를 실행하고 ‘콘텐츠 사용’ 단추를 누르는 순간 악성코드에 감염되고 컴퓨터 내부에 있는 각종 정보를 원격지로 전송하기 때문에, 한 번 감염된 후에는 공격자 마음대로 컴퓨터를 제어하는 등 다양한 악성 행위에 노출될 수 있다.

이스트시큐리트 측은 이번 사이버 공격 행태를 분석한 결과, ‘코로나19’ 즉 신형 코로나바이러스 사태를 악용해 지난달 2월27일 포착된 사이버 공격과 매우 흡사하다고 설명했다.

해킹 공격자는 한국 내 통일 및 평화관련 분야에 종사하는 사람들을 대상으로 계정탈취를 시도하면서 비건 서신 위장 문서파일로 현혹하고, 계정 탈취에 성공했을 경우 추가 악성코드 유포 등이 가능하다.

이와 관련, 이스트시큐리티 문종현 이사는 3일 자유아시아방송(RFA)에 “이번 공격은 워드(DOC) 문서파일 자체 취약점이 아닌 이용자의 심리적 궁금증을 유발해 악성 파일을 실행하도록 현혹하고 있기 때문에 ‘콘텐츠 사용’을 절대 실행하면 안된다”고 밝혔다.

한편, 미국 워싱턴의 정책연구소인 민주주의수호재단(FDD)의 북한전문가 매튜 하 연구원은 3일 자유아시아방송(RFA)에 북한의 사이버 공격 능력은 고도화됐지만, 사이버 공격은 증거가 남지 않아 주범을 찾기가 상당히 어렵다고 지적했다.

매튜 하 연구원은 또 "다른 많은 불량정권이 지원하는 해커와 마찬가지로 북한 해커들은 계정을 해킹하기 위해 이메일 자격증명에 접근하는 일에 매우 능숙하다"고 덧붙였다. 

한편, 미국 국무부는 비건 특별대표의 서신으로 사칭한 이번 지능형지속위협 공격에 대해서는 언급하지 않았다. 

khs911@jayoo.co.kr

더 자유일보 일시 후원

“이 기사가 마음에 들면 후원해주세요”

  • ※ 자유결제는 최대 49만원까지 가능합니다.

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.