북한 해커들이 기자를 사칭한 ‘피싱 e메일’로 국내외 외교안보 전문가들에게 접근하는 사건이 최근 잦아진 것으로 나타났다. 미국 법무부는 이런 북한의 사이버 범죄 등을 전담 수사할 ‘국가안보사이버부(NatSec Cyber)’를 신설한다고 20일(현지시간) 발표했다.
자유아시아방송(RFA)은 기자를 사칭한 북한의 피싱 e메일 공격이 늘었다며 12건의 실사례를 분석해 21일 자세히 소개했다.
북한 해커가 기자를 사칭한 '피싱 e메일'로 대북 전문가 등에게 접근하는 사례가 늘고 있다. 사진은 지난 7일 박현준 경찰청 국가수사본부 안보수사국 첨단안보수사계장이 북한 해킹메일 유포사건 관련 수사 상황을 브리핑하는 모습. 뉴스1
지난 3월 국내 모 일간지 기자라고 속여 미 싱크탱크인 브루킹스연구소의 한 연구원에게 보낸 피싱 e메일이 전형적인 사례다. 연구원이 e메일로 받은 서면 인터뷰에 응하자, 북한 해커는 추가 질문이 있다며 새로운 메일을 보냈다. 질문지가 담긴 구글 드라이브 연결 링크와 함께였다. 해당 링크에는 연구원의 컴퓨터를 ‘좀비 PC(인지 못 한 채 원격 조종당하는 컴퓨터)’로 만드는 악성코드가 심겨 있었다.
국제정치학자인 김재천 서강대 교수가 지난 1월에 받은 e메일도 유사한 수법이었다. 북한 해커는 RFA의 ‘양혜영 기자’라며 실제로 존재하지 않는 기자명으로 김 교수에게 접근했다. 해당 e메일에도 암호화된 구글 드라이브의 링크가 있었다. 김 교수가 미심쩍어하자, 해커는 “우리 채널에선 비번(비밀번호) 없이 문서를 보내는 것이 불허돼 있다”며 링크 클릭을 종용했다.
탈북민 출신 안찬일 박사도 지난해 10월 싱가포르 국영 방송인 CNA 기자를 사칭한 e메일 공격에 노출됐다. 평소 각종 방송에 자주 출연해 북한 정권을 비판해온 안 박사에게 북한 해커는 “한반도와 동아시아의 군비 경쟁 우려를 다룬 1시간 분량의 다큐멘터리를 제작 중”이라며 인터뷰를 요청했다. 해당 e메일 역시 악성코드를 품은 링크가 첨부돼 있었다.
국가정보원은 북한이 포털사이트 '네이버'를 실시간으로 복제한 피싱 사이트로 해킹을 시도하고 있다고 지난 14일 밝혔다. 연합뉴스
RFA에 따르면 북한 해커들은 기자 외에도 미 싱크탱크 연구원 등을 사칭한 가짜 e메일 공격을 감행하고 있다. 심지어 지인으로 속여 북한 뉴스를 다루는 기자의 개인 e메일을 해킹하려 한 사례도 있다.
이런 북한의 수법을 두고 전문가들 사이에선 “보안 경각심이 높은 사람을 대상으로 신뢰를 먼저 구축한 뒤 공격하는 ‘사회공학적 기법’의 전형적인 방식”이란 분석이 나온다. 사이버 보안업체인 시스코 탈로스의 애쉬어 말호트라 위협분석가는 “(북한 해커들과 e메일로) 이야기가 시작되면 신뢰를 쌓기 위해 천천히 대화할 것”이라며 “몇 주 동안 e메일을 주고받으면 악성코드 샘플을 보내 검토해달라고 요청할 것”이라고 방송에 설명했다.
미 법무부, 북 사이버범죄 수사 부서 신설
이처럼 북한의 사이버 테러가 계속되는 상황에서 미 정부는 법무부 산하 국가안보부에 전담 수사 부서인 국가안보사이버부를 두기로 했다. 미 법무부는 20일 이를 발표하면서 “중국ㆍ러시아ㆍ이란ㆍ북한 등 사이버 안보를 위협하는 국가 등에 대항해 차단 활동과 사법 조치의 규모와 속도를 높일 것”이라고 밝혔다.
이와 관련, 매튜 올슨 미 법무부 국가안보 담당 차관보는 이날 후버연구소 주최 토론회에 참석해 “북한은 군사적인 야망과 대량살상무기(WMD) 프로그램을 추진하는 데 필요한 자금과 기술력을 훔치기 위해 불법 사이버 활동에 눈을 돌리고 있다”며 “우리는 증가하는 (북한의) 사이버 위협을 효율적으로 막고 있다”고 말했다.
그는 또 “미 정부는 자산 동결과 제재 조치 등을 통해 북한이 블록체인에 묶여 있는 불법 수익의 상당 부분에 접근하는 것을 막았다”며 “우리의 암호화폐 추적 능력과 압류 집행을 통해 1억 달러(약 1289억원) 이상의 사용을 차단했다”고 밝혔다.
