美, 당국자·전문가 노린 北김수키 사칭 이메일 주의보

美FBI·국무부·NSA 공동 주의보 발표
언론 등 사칭…표적에게서 정보 수집

[워싱턴=뉴시스] 이윤희 특파원 = 북한 해킹조직이 정보 수집을 위해 언론이나 학계, 싱크탱크를 사칭한 이메일을 발송하고 있어 주의가 필요하다고 미국 정부가 당부하고 나섰다.

미 연방수사국(FBI)과 법무부, 국가안보국(NSA)은 2일(현지시각) 북한 해킹조직 '김수키(Kimsuky)'가 실제 기자, 학자, 북한 문제 전문가를 사칭한 스피어피싱에 나서고 있다며 공동으로 사이버보안 주의보를 발령했다.

미국 정부는 "북한은 목표물의 개인 문서, 연구, 대화에 불법 접근해 지정학적 행사나 적국의 외교정책 전략, 북한의 이해관계에 영향을 미치는 사안 등 정보를 수입하기 위해 이러한 스피어피싱을 활용하고 있다"고 경고했다.

김수키는 북한 정찰총국 산하 해킹조직으로 유럽과 일본, 러시아, 한국, 미국 등을 상대로 정보를 수집해 북한 정권에 넘기고 있는 것으로 알려져있다. 미국은 지난해 12월 김수키를 제재 대상으로 지정하기도 했다.

정부 기관은 물론 연구기관, 학술기관, 언론 등을 표적으로 삼아 정보를 수집하는 방식은 이미 알려져있음에도 이러한 공격이 이어지자 미국 정부가 공개적으로 경각심 제고에 나선 모양새다.

북한 해커들은 싱크탱크나 고등교육기관 등 저명한 단체의 개인을 사칭해 목표물의 신뢰를 얻고 친밀감을 형성하는 방식을 이용하고 있다고 미국 정부는 전했다.

미국 정부가 공개한 사례를 보면, 해커들은 지난해 말부터 올해 초까지 미국의 대북정책 컨퍼런스 기조연설자로 초대한다는 이메일을 보냈다. 연사로 나설 시엔 500달러를 지급하며, 참석이 어려울 땐 원격 참석도 가능하다고 안내했다.

또 사례에서는 기존 언론사 기자를 사칭하며 미국의 대북 정책과 관련한 코멘트를 요청했다.

이러한 메일은 합법적인 도메일을 통해 발신된 것처럼 보이지만, 이메일 보안 표준인 DMARC를 악용한 사기 계정에서 발송된 것이라고 한다.

이에 미국 정부는 초기 메일에 첨부파일이 없더라도, 이어진 연락에서 악의적인 파일이 첨부되는 경우, 어색한 영어 표현을 사용하는 경우, 공식 기관 명칭이나 이메일 주소와 철자가 미묘하게 틀린 경우 등에 주의해야 한다고 당부했다.

☞공감언론 뉴시스 sympathy@newsis.com

국제