北추정 해커조직 ‘금성121’…통일부 사칭 사이버 공격

지난 22일 대북단체 활동가들에게 보낸 통일부 사칭 이메일 화면. [ESRC캡처]

통일부를 사칭해 해킹 공격한 북한 추정 해커조직이 일주일 만에 대북단체 관계자들을 대상으로 사이버 공격을 한 것으로 파악됐다.
보안업체 이스트시큐리티 대응센터(ESRC)는 “‘금성121’이 지난 주말 대북단체에서 활동하는 주요 인사들에게 스피어 피싱(Spear Phishing) 공격을 한 정황을 포착했다”고 1일 밝혔다. 스피어 피싱은 특정 조직을 표적으로 시도하는 이메일이나 전자통신 사기로, 수신자에게 익숙한 지인이 보내는 메일처럼 위장해 보내거나, 정상적인 문서 파일을 첨부해 열어보도록 유도한다.
이번에는 대북단체 인사들에게 별다른 본문 내용 없이 한글(HWP) 문서 파일을 첨부한 이메일을 전송했으며, 단순 호기심에 문서 파일을 열면 악성코드가 실행되는 수법의 해킹 공격이었다고 ESRC는 설명했다.
ESRC는 해당 문서 파일을 분석한 결과 금성121이 배후에 있을 것으로 추정되는 단서를 확인했다고 밝혔다. 악성코드가 실행되며 특정 서버와 통신할 때 보이는 문자열이 과거 금성121의 해킹 사건 때와 비슷하다는 것이다.

미 법무부가 2014년 소니픽처스 해킹과 2016년 8100만 달러를 빼내 간 방글라데시 중앙은행 해킹, 2017년 워너크라이 랜섬웨어 공격 등을 자행한 혐의로 북한 프로그래머이자 '해커'인 박진혁이라는 인물을 기소했다고 2018년 9월 6일(현지시간) 밝혔다. 사진은 북한 해커 박진혁에 대한 미국 연방수사국(FBI)의 수배전단. [연합뉴스]

금성121은 해킹 공격자가 누구인지 정확하게 특정할 수 없기 때문에 ESRC가 자체적으로 작명한 이름이다.
금성은 북한에서 컴퓨터 교육을 집중적으로 실시하는 ‘금성 고등중학교’의 앞 글자에서, 121은 북한 정찰총국 산하 해킹 및 사이버전 전담부대 ‘121국’ 이름에서 따왔다고 한다. 다른 보안업체에선 같은 해킹 공격자를 두고, 다른 명칭으로 부를 수도 있다.
ESRC가 파악한 금성121은 지난 22일에도 대북단체 활동가, 일부 취재진 등에게 통일부를 사칭한 이메일을 보내 사이버 공격을 했다. 당시엔 “통일부 주무관 ***입니다. 일부 언론의 보도기사에 관한 통일부 해명입니다”라는 내용으로 악성 코드가 심어진 해명자료를 첨부했다. 금성121은 지난해 6~7월에도 ‘남북이산가족찾기 전수조사’란 제목의 이메일을 대북 분야 관계자들에게 발송했다.

국제 보안업계에서는 암호화폐를 대상으로 한 북한의 해킹 공격도 늘어날 것으로 전망한다. [중앙포토]

문종현 ESRC 센터장은 “해킹 공격자에 대해선 공격 대상과 해킹 수법의 유사점 등을 근거로 보안업체별로 작명을 한다”며 “금성121은 재작년부터 대북 분야의 활동가들을 대상으로 스피어 피싱 공격을 하는 점 등에 착안해 이름을 붙였다”고 말했다. 금성121이란 명칭엔 북한 소행 추정을 담은 ‘숨은 뜻’이 있지만 ESRC는 공식적으로는 “특정 정부의 후원을 받는 조직 소행으로 보인다”고 발표한다.
문 센터장은 "다양한 해킹 분석을 통해 공격 주체가 북한 쪽이라고 보지만 북측에서 확인해주지 않는 이상 단정할 수는 없기 때문”이라고 설명했다.
그는 해킹 노출을 줄이려면 "의심이 가는 이메일의 경우 문서 파일을 열지 말고, 문서 소프트웨어를 자주 최신 버전으로 업데이트해야 한다"고 조언했다.

백민정 기자 baek.minjeong@joongang.co.kr