"기자인데 취재 좀..." 교수 컴퓨터 턴 北 해커 수법

[한국경제TV 박근아 기자]

정부가 2일 독자 제재한 북한 해킹조직 김수키(Kimsuky)에 관한 보안권고문을 미국 정부가 함께 공개했다. 권고문에는 이들의 치밀하고 계획적인 해킹 수법이 상세히 담겨 있다.

한미 정부와 민간 보안업체들은 피해자의 사회적 관계를 이용해 피해자를 속이고 비밀 정보를 획득하는 북한 해킹 조직을 김수키, 탈륨(Thallium), APT43, 벨벳천리마(VelvetChollima), 블랙 밴시(Black Banshee) 등으로 명명해 추적 중이다.

김수키는 북한 정찰총국 산하 해킹조직으로 2012년경부터 사이버 공격을 전개했다. 주로 기자나 학자, 싱크탱크 연구원, 사법기관, 포털사이트 관리자 등을 사칭해 범행한다.

일단 피해자에게 해킹을 의심할 수 없는 일반적인 내용의 이메일을 보내는 식으로 소통을 시작한다. 피해자와 유대 관계부터 형성하는 것이다. 한 이메일 교신 사례를 보면 김수키는 한 국내 싱크탱크 부원장인 것처럼 행세하며 정치·북한 분야 교수들에게 메일을 보냈다.

그러면서 자신이 소속된 싱크탱크에서 작성 중인 '북한의 외교정책과 한국의 대응' 주제문에 대한 코멘트를 받고자 한다고 했다.

답장이 오자 김수키는 다시 메일을 보내 "자료 파일을 별첨해 송부드린다"며 첨부 파일 클릭을 유도한다. 해킹을 의심하지 않게끔 "해킹이 심한 시대라 보안상 비밀번호를 추가했다"는 문구를 함께 적었다.

이를 통해 피해자 계정 정보를 절취하고 악성코드에 감염시킨 후에도 감사 인사 메일을 피해자에게 추가로 발송하기도 한다고 보안권고문은 소개했다.

미국에서는 김수키가 기자를 사칭해 싱크탱크 직원에게 발송한 메일이 발견됐다. 김수키는 싱크탱크 직원에게 러시아의 우크라이나 침공, 북미관계, 북중·북러 관계를 질문하고 답을 요청했다.

국내에선 피해자의 이메일 계정이 불법적인 사건에 연루됐다며 수사 기관이나 사법 기관을 사칭한 사례도 파악됐다.

김수키는 "귀하의 이메일 계정을 이용해 유튜브에 국가보안법 위반 게시물이 등록됐다"며 "위 게시자는 탈북민을 음해하는 게시물을 올리기도 했다"고 협박했다.

그러면서 "정확한 게시물 등록자를 찾아내는데 협조 바란다"며 컴퓨터 매체 접근 제어 주소(MAC 주소), 이더넷 하드웨어 주소(고유식별정보) 등을 24시간 이내로 회신해달라고 요구했다.

김수키가 발송하는 메일에는 피해자가 다른 사람들과 정상적으로 주고받은 내용이 들어가 있는 경우가 많다. 그래서 피해자는 공격 대상자가 되더라도 이를 인지하기가 쉽지 않다.

권고문은 일상적인 메일로 보이더라도 발신자의 도메인이 발신자가 소속된 공식 웹사이트에 나온 도메인과 일치하는지 확인할 필요가 있다고 조언했다. 가짜 도메인은 오픈소스 악성 프로그램 점검 사이트 등을 통해 확인할 수 있다.

해킹 피해를 막는 가장 좋은 방법은 의심스러운 메일을 아예 열어보지 않거나 출처가 확인되지 않은 이메일 속 URL을 클릭하지 않는 것이다. 수상한 메일이 왔다면 해당 단체에 공식 문의하는 것이 좋다. 상대의 신분을 확인할 수 없다면 유선·화상 전화로 신분 확인을 하는 방법도 있다.

권고문은 북한 해커들이 가상 환경 밖에서는 소통하지 않는 것으로 알려져 있다며 김수키는 유선 또는 화상 연락을 피할 것이라고 조언했다.

(사진=연합뉴스)
박근아기자 twilight1093@wowtv.co.kr