RFA “北, 2024년 1월 러 외무부 해킹 시도 정황”

해킹그룹 ‘코니’ 악성코드 발견
2023년에도 러 백도어 해킹 시도
러 대외정책 등 검증 목적 분석

북한이 올해 초 러시아 외무부 해킹을 시도한 정황이 있다고 미국의 대북매체가 보도했다.

자유아시아방송(RFA)은 21일(현지시간) 독일 사이버 보안업체 DCSO를 인용해 “북한 해킹그룹이 올해 1월 중순 러시아 외무부를 대상으로 해킹을 위한 악성코드를 퍼뜨린 정황이 포착됐다”고 보도했다. 해당 독일업체는 북한 배후 해킹그룹인 ‘코니(KONNI)’가 2014년부터 사용해 온 악성코드 유형을 발견했고, 이는 2021년 러시아 외무부 해킹에 사용된 것과 유사한 것으로 파악된다는 것이다.

사진=게티이미지뱅크 제공

RFA는 “최근 해킹에서 북한 해커는 러시아어로 된 소프트웨어 설치 프로그램에 ‘백도어(back door)’ 수법으로 악성코드를 숨겨 놓았다”고 덧붙였다. 뒷문이라는 의미를 담고 있는 ‘백도어’ 악성코드는 정상적인 인증 절차 없이 시스템에 대한 접근을 가능하게 한다. RFA는 “해커들은 백도어를 통해 운영자의 승인 없이 무단으로 접속해 내부 자료를 열람하거나 변경 및 삭제할 수 있게 된다”고 설명했다.

‘코니’는 지난해에도 러시아의 공공 세금 보고 소프트웨어에 백도어 해킹을 시도한 바 있다.

DCSO는 이번에 백도어로 설치한 악성코드가 특히 외국 주재 러시아 영사관의 통계 자료를 외무부 산하 유관 기관으로 보내도록 유도한 것으로 분석했다.

북한이 악성코드 배포를 위해 사용한 프로그램은 ‘KZU 통계’를 뜻하는 러시아어(Cтатистика КЗУ)로 돼 있어 통계 관련 자료와 관련된 것처럼 보이도록 위장했다. 이 프로그램을 실행하면 로그인에 필요한 사용자 아이디, 비밀번호와 함께 사용 설명서가 나타나고, 이후 새로운 창이 뜨면서 사용자에 근무하는 국가와 영사관을 선택하도록 하고 외무부에 통계 자료를 전송하도록 지시한다.

DCSO는 보고서에서 북·러 간 전략적 연계가 강화되고 있음에도 최근 북한 해커가 러시아 정부의 민감한 정보를 표적으로 한 것은 북한 정권이 여전히 러시아의 대외 정책 계획과 목표를 평가하고 검증하기 위한 기존 해킹 목적과 다르지 않다고 평가했다.

‘코니’ 그룹은 2021년 말부터 2022년 초에도 러 외무부 정보 탈취를 위한 해킹을 여러 차례 시도한 바 있으며 이 가운데엔 러시아 외무부 직원의 이메일 계정을 훔쳐 인도네시아 주재 러시아 대사관과 확산금지 및 군비 통제를 관할하는 당시 세르게이 라브로프 외무차관 등에 이메일을 보낸 적도 있다고 RFA는 전했다.

김예진 기자 yejin@segye.com