북한 해킹조직 '탈륨' 사이버 공격 급증
국가 차원 훈련과 교육으로 공격 기술 강화
북한 해커(이미지=게티이미지뱅크)
[아시아경제 이진규 기자] 북한 해킹조직의 해킹 공격이 날로 지능화되고 있다. 국내 포털이나 클라우드 서비스 사업자가 보낸 이메일로 위장하는 등 공격 수법이 다양해지고 있는 것이다. 신종 코로나바이러스감염증(코로나19) 사태 장기화로 비대면(언택트) 문화가 확산되고 있는 가운데 북한 해킹조직이 그 빈틈을 노리고 있다.
북한 해킹조직 '탈륨' 사이버 공격 급증
12일 보안업계에 따르면 북한 해킹조직으로 알려진 '탈륨'의 사이버 공격이 최근 급증하고 있다. 탈륨은 2019년 12월 미국 마이크로소프트(이하 MS)가 버지니아주 연방법원에 정식으로 고소장을 제출하면서 국제사회에 알려진 해킹 조직이다. MS는 지난달 탈륨 피고인이 출석하지 않은 공석 상태로 재판을 진행하는 궐석재판을 요청했고, 이들이 사용한 이메일 주소에 수차례 소환장을 보냈다. 탈륨은 국내 방위업체를 비롯해 대북 연구 분야 종사자와 탈북민, 북한 관련 취재 기자를 집중 공격하고 있다.
탈륨은 2014년 한국수력원자력 해킹공격 배후로 유명한 '김수키(Kimsuky) 조직'과 관련성이 높은 것으로 알려졌다. 이스트시큐리티는 탈륨 조직이 사용한 이메일 계정에서 국내 서비스 주소가 포함돼있고, 비트코인 키워드를 아이디로 사용하거나 과거 한국에서 보고된 악성파일과 밀접하게 연관된 것으로 분석했다.
최근에는 국내 포털 네이버 고객센터가 보낸 것처럼 위장한 이메일 피싱 공격 징후가 포착됐다. 탈륨은 네이버 보안 서비스 중 하나인 '새로운 기기 로그인 알림 기능'이 해제됐다는 이메일 공지를 사칭했다. 메일 내용에는 새로운 기기 로그인 알림 기능이 해제돼 다시 설정이 필요하다는 안내와 함께 '새로운 기기 로그인 알림 설정 바로 가기' 버튼을 클릭하도록 유도하는 글이 담겨있다. 이 버튼을 클릭하면 안전한 사용을 위해 사용자 계정의 비밀번호를 입력하도록 요구하는 창이 나타나며, 이때 사용자가 계정 정보를 입력하면 그 정보는 해킹조직에 넘어간다.
지난달에는 삼성 클라우드 서비스를 사칭한 사이버 공격 사례도 드러났다. 탈륨은 삼성 클라우드 서비스가 발송한 것처럼 꾸민 악성 이메일을 보내는 수법을 사용했다. 탈륨은 '삼성 클라우드 갤러리 사용 확인 안내'라는 제목의 이메일을 보냈고, 해당 이메일을 열면 실제 삼성 클라우드 공식 메일인 것처럼 로고와 고객지원 전화번호 등이 나와 있는 안내 메일이 나오게 했다. 메일에는 '피해자 계정으로 알 수 없는 서비스 사용 기록이 있다'는 것처럼 내용을 꾸미고, '자주 묻는 질문' 링크를 누르도록 유도했다. 탈륨은 해당 링크를 누르면 악성 URL로 연결되도록 했다.
탈륨이 사용했던 메일 화면은 실제 회사에서 사용하는 고객센터 공지 이메일과 디자인이 동일해 피해자들이 해킹 메일로 판단하기 어려웠다. 보안업계는 '휴면 알림 메일 공지', '이메일 계정에 오래된 쿠키 정보가 있다' 등 다양한 수법이 번갈아 사용하며 지속적으로 디자인과 내용을 업데이트하고 있어 각별한 주의가 필요하다고 조언했다. 문종현 이스트시큐리티 이사는 "북한 해킹조직의 위협 노출을 최소화하기 위해선 발신자 이메일을 유심히 살펴봄과 동시에, 로그인을 유도하는 웹사이트의 인터넷 URL 주소가 실제 공식 사이트인지 반드시 살펴봐야 한다"고 당부했다.
국가 차원 지원으로 사이버 공격 기술 강화
탈륨 사례처럼 북한 해킹조직이 이메일을 통해 국내 특정 PC의 정보를 훔쳐 가는 사이버 공격은 꾸준히 이뤄지고 있다. 북한 해킹조직은 국가 차원의 훈련과 교육을 받으면서 사이버 공격 기술을 강화하고 있는 것으로 알려졌다. 올해 초 문정인 대통령 통일외교안보특별보좌관의 세미나 발표 문서파일로 위장해 특정 PC의 정보를 훔쳐 가는 스피어피싱 공격이 발견됐다. 당시 사이버공격 배후로 김수키 그룹이 지목됐다. 지난해 12월에는 청와대 행사 견적서로 위장한 악성파일이 확인됐고, 북한 이탈주민 지원 단체로 둔갑한 사이버공격도 발견됐다. 이 같은 사이버 공격의 배후에는 모두 북한 해킹조직이 있었다. 급여명세서를 사칭한 악성파일 역시 북한 해커들의 사이버 공격에서 자주 발견되고 있다.
이진규 기자 jkme@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>
![[포토]BTS 데뷔 10주년 맞아 하이브 앞 찾은 외국인관광객들](https://cwcontent.asiae.co.kr/asiaresize/276/2023061308571161328_1686614230.jpg)
![[포토] '발리댁' 가희, 탄탄한 복근](https://cwcontent.asiae.co.kr/asiaresize/276/2022101417545469305_1665737695.jpg)