북핵·미사일 분석하는 ‘38노스’ 역이용한 北해커들...“위장 메일로 피싱” 경계령

‘stimson.org’ 이메일 주소에
s 하나 추가한 ‘stimsons.org’
38노스 운영기관 위장한 메일로
외교안보 관계자들에 피싱·해킹
“정보 탈취·평판 흠집” 의도 지적

미국 싱크탱크 스팀슨센터가 운영하는 북한전문매체 38노스(38 North). 홈페이지 캡처

미국의 북한전문매체인 ‘38노스’(38 North)는 북한의 핵시설이나 미사일발사장을 촬영한 위성사진 등을 분석해 핵·미사일 위험 징후를 알리거나 미국 내 북한 전문가들의 기고문을 발행하는 것으로 유명하다. 이처럼 북한이 껄끄럽게 여길 수 있는 38노스의 활동을 역이용한 북한 해커들의 공작 징후가 포착됐다.

27일(현지시간) 자유아시아방송(RFA)에 따르면 ‘38노스’를 운영하는 스팀슨센터의 보조 편집자 나탈리아 슬라브니 연구원은 최근 들어 자신과 스팀슨센터 연구원을 사칭한 피싱 메일 시도가 끈질기게 이어지고 있다고 밝혔다. 그는 "(38노스에 대한) 사칭 사례들과 해킹 시도들은 늘 있었던 것이지만 최근 이로 인해 한국 전문가들이 상당히 큰 타격을 받고 있다"며 "이러한 피싱 메일 시도는 한두 차례 시도로 끝나지 않고 성공할 때까지 계속 되는 것으로 보인다"고 말했다.

RFA는 한국의 신각수 전 주일대사도 슬라브니 연구원으로 위장한 이메일을 받고 해킹을 당했다고 전했다. 신 전 대사는 RFA에 "스팀슨센터에서 북핵 관련 논문이 기고가 됐고 검토하는 데 참여해 달라고 해서 내가 그 파일을 열어서 검토를 해서 보내줬다. 검토한 것에 대해 의견까지 왔다"며 "그런데 얼마 뒤 (이메일 운영사인) 구글에서 해킹을 당한 것 같다고 연락이 와서 알게 됐다"고 설명했다. 이후 북한 소행으로 추정되는 해커들은 신 전 대사의 계정을 활용해 주요국에 나가 있는 한국 대사들에게 이메일을 보냈고, SNS도 활용해 다른 외교안보 전문가의 2차 피해자도 발생했다는 것이다.

RFA는 신 전 대사가 해킹 이후 해당 피싱 이메일을 삭제해 확인할 수는 없었지만, 해킹 방식은 RFA가 슬라브니 연구원으로부터 확보한 피싱 이메일 방식과 상당히 비슷했다고 지적했다. 또 RFA는 전문가들에게 보내진 12개의 피싱 이메일을 수집해 사이버 보안 전문가들로부터 북한 해킹 조직 ‘김수키’ 소행이라고 판명받은 바 있다고 밝혔다.

‘38노스’ 프로듀서인 일리아나 라그논 연구원도 최근 이같은 사례를 당했다. 라그논 연구원은 "저를 가장해 이번 달 회의에 초대하는 이메일이 보내졌다"며 "수신자가 답장을 하면, 해커들은 때때로 그들에게 식사 제한이 있는지 묻는 등 추가적인 세부 사항에 대해 후속 대화를 하면서 접근한다"고 설명했다. 특히 라그논 연구원을 사칭한 이메일 주소는 진짜 이메일 도메인인 ‘stimson.org’에 알파벳 s만 추가된 ‘stimsons.org’로 사실상 가짜 이메일을 구분하기 어려운 수준이었다고 RFA는 전했다.

RFA는 이 같은 해킹 행위에 대해 "위성사진 등을 통해 북한의 실상을 폭로해온 민간 연구소의 정보를 탈취하고 평판에 흠을 내기 위한 의도로 보인다"며 "북한 해커들에겐 껄끄러운 상대인 스팀슨센터를 가장해 대북 전문가들을 해킹한다면 이들의 정보를 훔치고, 연구소 평판에 흠집을 내는 일석이조의 효과를 낼 수 있다"고 지적했다. 사이버보안업체 카스퍼스키의 박성수 연구원은 RFA에 "(해킹의 주 목적은) 스팀슨 센터의 평판을 이용해서 공격 대상에게 접근하고 악성코드의 실행을 유도하는 공격"이라면서도 "부가적인 피해로 위장한 기업이나 기관(스팀슨센터)의 평판이 피해를 입을 수도 있다"고 설명했다.

박준희 기자