▲ 북한이 남북간, 미북간 평화모드에도 불구하고 해킹활동을 지속하고 있다. [Illusted by Russia Insider]

남북정상회담과 미북정상회담으로 급격하게 평화모드로 변화되는 이 시점에서 북한이 ‘이상가족 상봉’을 매개로 해킹을 위한 피싱메일을 무작위적으로 유포해 북한의 비핵화와 평화 공세의 진정성에 대해 의구심이 일고 있다.

[북한, 이산상봉 매개 피싱메일 유포 확인]

북한전문 매체인 데일리NK가 3일 공개한 피싱메일은 ‘통일부 이산가족정보통합시스템(RSS) 업무담당자입니다’는 제목이 달려있는 파일로 유포됐는데, 탈북민·북한인권단체 관계자 등 특정인 대상으로 정보탈취를 위한 목적으로 한 ‘스피어 피싱(Spear phishing)’ 공격으로 파악됐다.

▲ 북한 해커가 보낸 것으로 추정되는 한글(HWP) 파일. [이스트시큐리티]

‘작살로 물고기를 잡다’는 뜻에서 유래가 된 스피어 피싱은 특정 대상을 목표로 하는 해킹 공격방법으로 공격 대상이 흥미를 끌만한 이메일 등을 보내 공격대상의 클릭을 유도하고 컴퓨터를 감염시킨다.

해커는 악성코드에 감염된 컴퓨터로 민감한 정보들을 탈취하거나 감염된 컴퓨터를 추가적인 공격의 발판으로 삼는다.

특히 전문가들은 이번 공격이 이메일을 보낸 방식, 시기 등의 면에서 이전보다 더욱 정교해진 모습이라고 지적한다.

기존의 이메일 공격은 ‘한글파일(HWP)’을 첨부해 보내 사용자에게 클릭을 유도했으나 이번 공격은 보안메일로 위장된 ‘HTML 파일’을 열면 ‘HWP’ 파일이 나타나는 형태라는 것.

이는 이메일로 카드요금 청구서 등을 받았을 때 오는 보안메일과 유사한 형식으로 해커들이 새로운 공격 방법을 개발한 것으로 보인다.

▲ 최근 북한이 해킹을 위해 보낸 것으로 추정되는 메일 [이광백 페이스북]

▲ 최근 북한이 해킹을 위해 보낸 것으로 추정되는 메일 [이광백 페이스북]

해커는 북한인권 단체 관계자 이름을 도용해 이메일을 보내고 본문에 “본 메일은 통일부 이산가족정보통합시스템(RSS)에서 발송된 보안메일입니다”는 문구를 삽입해 공격대상자들을 속이려고 했다.

또한 해커는 남북이 이산가족 생사확인서를 교환하는 3일 이산가족정보를 확인할 수 있다는 이메일을 유포, 효과의 극대화를 꾀한 것으로 추정된다.

남북은 이날 판문점에서 남측 이산가족 250명과 북측 이산가족 200명의 명단을 교환한 바 있다.

[빗썸 해킹 배후도 북한으로 밝혀져]

지난 6월 20일에 발생해 350억원 가량의 피해를 초래한 국내 대표 가상화폐 거래소인 빗썸 해킹 사건의 배후에 북한이 있다는 주장이 미국 사이버 보안업체 에일리언 볼트에 의해 제기된 바 있다.

이 빗썸 해킹때도 스피어 피싱 수법을 사용한 것으로 추정됐다.

이 해킹 수법은 2014년 한국수력원자력 원전도면 유출과 소니픽쳐스 해킹 사태, 2016년 방글라데시 중앙은행 해킹 사태, 지난 해 워너크라이 사태 등의 배후로 지목된 북한이 전형적으로 사용된 수법이기도 하다.

▲ 미국 사이버 보안업체 ‘파이어아이(Fireeye)’ 가 최근 발표한 북한 해킹 보고서의 그래픽. 북한 해킹 조직 ‘APT 37’의 공격을 받은 국가와 지역으로 한국과 베트남, 일본, 중동을 붉게 표시했다.

[이산가족상봉 해킹, 북한 소행 확실]

한편, 이번 해킹 공격은 기존에 북한에서 사용하던 코드들이 쓰인 점과 이메일을 보낸 방식, 탈북민 및 북한인권 단체 관계자들을 노렸다는 점에서 북한의 소행으로 추정된다.

익명을 요구한 보안 전문가는 4일 데일리NK에 “이번 공격이 사용된 코드상으로 북한이 과거에 쓰던 것과 유사해 북한 소행으로 추정된다”면서도 “다만 아직까지 단정적으로는 말할 수 없고, 조사가 더 필요하다”고 말했다.

이스트시큐리티 시큐리티대응센터 문종현 이사는 “공격에 사용되는 코드나 최종적으로 생성되는 실행파일(exe)이 기존에 한국에서 다수 분석되었던 종류로, 특정 정부지원을 받는 해커 추정의 공격 기법과 매우 흡사한 부분이 발견이 됐다”며 “코드 안에 러시아어를 사용해 의도적으로 공격원점을 숨기려 했지만 HWP 파일을 사용한 점이나 유창한 한국어로 ‘비번’같은 한국인들이 많이 사용하는 단축표현을 사용한 점으로 미루어보아 특정국가의 지원을 받는 해커들의 소행으로 추정된다”고 말했다.

[김영철 방미 시점에도 북한 해킹 조직 적극 활동]

한편 미국정부는 6월 12일 미북정상회담 직전인 5월 29일 북한의 해킹 조직 ‘히든 코브라’에 대한 경보를 발령하기도 했다.

당시 미국 국토안보부(DHS)와 연방수사국(FBI)은 공동 경보를 통해 ‘하드 레인’과 ‘배드콜’이란 악성코드를 사용하는 히든 코브라가 미국의 언론과 항공, 금융 분야 등 핵심 인프라 시설을 표적으로 공격할 수 있다고 밝힌 바 있다.

문제는 이 시기가 김영철이 미국을 방문할 시기와 겹쳐 북한의 진의가 무엇인지 의심케 한 적 있었다.

[지난 4.27남북정상회담 직전에도 북한 사이버 공격, 직후에도 더 늘려]

북한 해커조직 ‘히든 코브라’가 지난 4.27 남북정상회담 직전에도 한국소비자원 등에 대한 대규모 해킹 공격을 시도했었다.

더더욱 문제되는 것은 4.27회담 직후에도 금융회사와 북한 문제를 다루는 단체를 대상으로 사이버 해킹 공격을 더 늘렸다는 점이다. WSJ이 지난 5월 25일 보도한 내용이다.

아이러니칼하게도 판문점선언에는 “모든 공간에서 상대방에 대한 일체의 적대적 행위 중단”에 합의한 바 있다.

결국 북한의 이러한 행동은 북한이 약속한 비핵화 등의 신뢰에도 악영향을 미치게 될 것으로 보인다.

문재인 정부는 남북정상회담 전후에도 계속된 북한 해킹 활동에 대해 항의 한 번 하지 않고 침묵을 지켰다.

[해킹 예방 위해 발신자 이메일 주소 확인 필요]

익명을 요구한 보안전문가는 “해킹을 예방하기 위해서 일단 메일을 받았을 때 발신자 이메일 주소를 확인하는 습관이 필요하다”며 “해커들은 한국 포털 사이트들의 이메일을 이용해 해킹공격을 시도하므로 공식적으로 정부기관에서 보낸 메일인지 확인 후 열어보고 해킹으로 의심되는 메일은 전문기관에 신고해야 한다”고 당부했다.