북한이 지난해 최소 7차례 가상자산(암호화폐) 거래소 및 투자회사들을 상대로 사이버 공격을 가해 4억 달러(약 4880억원) 상당을 훔치는 등 국제사회의 대북제재를 회피한 것으로 나타났다. 유엔 안전보장이사회 산하 대북제재위원회에 따르면 지난달 31일(현지시간) 전문가패널은 “금융기관과 암호화폐 회사 및 거래소를 지속적으로 겨냥한 북한 연계 해커들에 대한 정보를 제공받았다”며 관련 보고서를 공개했다. 보고서에 따르면 블록체인 분석업체인 체이널리시스는 북한과 연계된 해커들이 지난해 암호화폐 거래소와 투자회사 등을 대상으로 최소 7건의 사이버공격을 감행해 이런 피해를 발생시킨 것으로 추정했다. 해커들은 피싱 유인, 암호 악용, 악성코드 등을 활용해 인터넷에 연결된 암호화폐 지갑에서 북한이 통제하는 주소로 자금을 빼돌렸고, 암호화폐는 현금화를 위해 세심한 자금세탁 과정을 거쳤다고 설명했다. 사이버공격은 ‘라자루스’, ‘김수키’ 등 북한 정찰총국과 연계된 것으로 알려진 해킹조직과 관련이 있는 것으로 전해졌다. 전문가패널은 “암호화폐 자산에 대한 사이버공격은 여전히 북한의 중요한 수익원”이라고 지적했다. 외교부 관계자는 “대북제재 결의가 충실히 이행될 수 있도록 국내 유관기관 및 국제사회와 긴밀히 협력하고 소통하겠다”고 했다.

“삼성 신입사원, 연봉 3억원”한국 정보보안 기업 직원들에 이메일 북한 해커들이 삼성 직원을 가장해 ‘3억원’의 고액 연봉을 내거는 악성 이메일을 보내 해킹을 시도하고 있다. 이들은 한국 정보보안 기업 직원들에게 이메일을 보내온 것으로 드러났다. 28일 구글의 사이버보안 작업팀에 따르면 최근 발간된 ‘위협 지평’(Threat Horizon) 11월호 보고서를 통해 북한 해커들이 한국 정보보안 기업의 종사자들에게 삼성을 사칭한 취업 제안 이메일을 보냈다고 소개했다. 또 해커들이 공격을 통해 확보한 클라우드 컴퓨팅 자원의 86%를 암호화폐 채굴에 사용한 것으로 분석했다. 구글이 제시한 이메일 예시를 보면 해커들은 최고 3억원의 연봉을 제시하며 “경력에 관해서 아래 문서를 확인하시고 양식에 간단히 기입해 주세요”라고 요청했다. 구글에 따르면 북한 해커들은 한국 정보보안 기업의 직원들에게 허위 채용안내 이메일을 보냈다. 이들 정보보안 기업 직원들은 악성 소프트웨어 방지 프로그램을 판매하는 일을 주로 하는 것으로 전해졌다.이메일에는 직무 설명서 등이 PDF 파일로 첨부됐으나, 이들 파일이 일반적인 PDF 읽기 프로그램에서 열리지 않았다고 설명했다. 수신자가 ‘파일이 열리지 않는다’고 답신하면, 해커들은 구글 드라이브 내 ‘안전한 PDF 리더기’로 연결되는 악성 링크를 보냈다. 링크를 누르면 사용자의 컴퓨터에 파일이 깔리고 임의로 명령을 내릴 수 있는 악성 소프트웨어가 설치되는 방식이다. “우방국 안 가려”…북한, 중국·러시아에도 해킹 시도 북한은 우방국인 중국과 러시아에 대해서도 해킹을 시도하고 있는 것으로 알려졌다. 앞서 지난 23일 미국 데일리비스트는 미 보안업체 크라우드스트라이크의 연구자료를 인용해 북한 정권과 연관된 것으로 추정되는 해커 세력이 중국의 보안 연구원들의 기술을 훔치려 했다고 보도했다. 북한 해커들은 보안과 관련한 중국어 문건으로 중국 보안 연구원들의 클릭을 유도했다. 북한은 이메일이나 소셜미디어를 통해 멀웨어(악성 소프트웨어)를 뿌리는 방식으로 곳곳에서 해킹 활동을 벌여 왔다. 한국은 물론 미국, 일본도 북한의 주요 해킹 표적이다. 또 북한 해커들은 러시아도 공격 대상으로 삼았다. 최근 러시아 매체 코메르산트는 미 보안업체 프루프포인트를 인용해 북한 해커그룹 ‘김수키’가 대북 문제를 다루는 러시아 과학자, 외교정책 전문가, 비정부기관을 공격했다고 보도했다. 북한 해커들은 유명한 러시아 전문가를 사칭해 북한 관련 전문가들에게 피싱 이메일을 보낸 것으로 알려졌다. 해킹 목적은 자료를 수집하기 위한 것이라고 프루프포인트는 분석했다.

국회 정보위원회 소속 국민의힘 하태경 의원이 원전과 핵원료의 원천기술을 보유한 한국원자력연구원이 북한의 해킹 공격을 받았다고 주장했다. 하 의원은 18일 기자회견을 열어 이 같은 내용이 담긴 한국원자력연구원의 사이버침해 자료를 공개했다. 자료에 따르면 지난달 14일 승인되지 않은 13개 외부 IP가 한국원자력연구원 내부망에 무단접속했다. 하 의원은 북한 사이버테러 전문 연구그룹인 ‘이슈메이커스랩’을 통해 무단접속 IP의 이력을 추적한 결과, 일부는 북한 정찰총국 산하 해커조직인 ‘김수키’(kimsuky)의 해킹 서버로 연결된 사실을 확인했다고 주장했다. 김수키는 지난해 아스트라제네카와 셀트리온 등 제약사 해킹 공격도 주도한 단체로 지목되고 있다. 하 의원은 또 무단접속 IP 가운데 일부가 문정인 전 대통령 외교안보특보의 이메일 아이디를 사용한 흔적도 확인했다고 밝혔다. 지난 2018년 문 특보의 이메일 해킹 사고와 연계됐다는 정황으로, 모두 북한이 해킹의 배후 세력이라는 결정적 증거라고 하 의원은 밝혔다. 하 의원은 “만약 북한에 원자력 기술 등 국가 핵심 기술이 유출됐다면, 2016년 국방망 해킹 사건에 버금가는 초대형 보안 사고로 기록될 수 있다”고 말했다. 하 의원은 원자력연구원가 의원실의 최초 질의에 대해 해킹 사고가 없었다는 취지로 답변한 데 대해서는 “사건 자체를 은폐하려 했다”고 비판했다. 하 의원은 “(피해 사실을) 숨겼으면 숨겼지 모를 수는 없다. 정부가 진상을 밝혀야 한다”며 “문재인 정부가 들어선 이후 북한의 해킹을 인정하지 않으려고 한다. 북한의 눈치를 봐서 그러는 것 같다”고 지적했다. 이에 대해 원자력연구원 측은 해커에 내부망이 뚫린 것은 사실이지만, 북한의 소행 여부와 자료 탈취 여부는 조사가 진행 중이어서 알 수 없다는 입장을 밝혔다. 신형철 기자 hsdori@seoul.co.kr

이스트시큐리티는 청와대 관련 파일로 위장한 악성 파일을 발견했다고 19일 밝혔다. 이날 새벽 제작된 이 악성 파일의 이름은 ‘bmail-security-check.wsf’로, 실행하면 ‘보안메일 현시에 안전합니다’라는 문구가 뜬다. 회사 측은 “‘bmail’ 보안 체크 프로그램으로 위장하고 있다”며 “청와대 보안 이메일 검사를 사칭해 관련자를 현혹한 다음 지능형 지속위협(APT) 공격을 수행할 목적으로 제작된 것으로 추정된다”고 분석했다. 또 윈도 화면보호기 파일로 위장한 변종 ‘bmail-security-check.scr’도 함께 발견됐다. 문종현 시큐리티대응센터장은 “공격자의 명령 제어 서버 일부 주소가 청와대 사이트로 연결되는 등 청와대를 사칭해 관련자를 공격할 의도가 다수 포착됐기에 각별히 주의해야 한다”며 “사이버 범죄 조직 ‘김수키(Kimsuky) 그룹’의 공격과 유사성이 매우 높다”고 진단했다. 김수키는 북한과 연계설이 제기되는 해킹조직으로, 2014년 한국수력원자력 해킹 사건에 이어 작년 통일부와 경찰청, 암호화폐 거래소 등 지속적인 사이버 공격을 감행해왔다는 의혹을 받고 있다. 신진호 기자 sayho@seoul.co.kr

‘코로나 바이러스 이사장 지시사항’ 이메일파일 열면 악성 스크립트 동작해 악성코드北연계 해킹 조직 ‘김수키 그룹’으로 추정북한과 연계한 것으로 추정되는 해킹 그룹이 신종 코로나바이러스 감염증(코로나19) 정보로 위장한 악성 코드 메일을 국내에 뿌린 정황이 포착됐다. 27일 이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 최근 ‘코로나 바이러스 관련 이사장님 지시사항’이라는 제목의 메일이 국제 교류 단체 등 일부 국내 기관을 상대로 유포됐다. 이 메일에는 ‘코로나 바이러스 대응.doc’라는 파일이 첨부돼 있다. 이 파일을 열면 공격자가 문서에 삽입해 둔 악성 스크립트가 동작해 사용자의 PC에 추가 악성코드가 설치된다. 바로 ‘스피어 피싱’ 수법이다. 이번 공격을 시도한 곳은 북한과 연계하는 것으로 알려진 해킹 조직 ‘김수키(Kimsuky) 그룹’으로 회사 측은 분석했다. 지난달 발견된 문정인 대통령 통일외교안보특별보좌관의 세미나 파일로 위장한 스피어 피싱 공격의 변종으로 ESRC는 판단했다. 보안 전문가들은 출처가 의심되는 메일은 열어보지 말고 특히 첨부파일 실행에 주의를 기울일 것을 당부했다. 정현용 기자 junghy77@seoul.co.kr

지난해 말 원전 자료 유출 등 한국수력원자력(한수원)을 상대로 한 사이버 테러가 북한 소행이라는 수사 결과가 나왔다. 개인정보범죄 정부합동수사단(단장 이정수 부장검사)은 17일 한수원 사이버 테러 사건에 대한 중간수사 결과를 발표하며 “금전보다는 사회적 혼란 야기가 주목적인 북한 해커조직의 소행으로 판단된다”고 밝혔다. 합수단은 북한 해커조직이 사용하는 것으로 알려진 ‘김수키’(kimsuky) 계열 악성코드를 핵심 판단 근거로 삼았다. 해커가 한수원 이메일 공격에 사용한 악성코드의 구성과 동작 방식이 김수키와 매우 유사하다는 것이다. 또 국내 인터넷 가상사설망(VPN) 서비스업체 H사에서 할당받아 범행에 사용한 일부 인터넷프로토콜(IP)에 북한 측 IP 주소 30개가 접속한 흔적도 발견했다고 합수단은 설명했다. 김양진 기자 ky0295@seoul.co.kr

검찰은 지난 3개월간 악성코드 및 인터넷 접속 IP 분석 결과를 근거로 지난해 말 집중된 한국수력원자력 사이버 공격이 북한 소행이라고 잠정 결론을 냈다. 17일 개인정보범죄 정부합동수사단(단장 이정수 부장검사)에 따르면 원전 관련 도면 등 지난해 12월~올해 3월 6차례에 걸쳐 공개된 한수원 자료 상당수가 이메일을 해킹하는 방식으로 유출됐다. 해커는 먼저 지난해 7~9월 이메일로 악성코드를 침투시켜 컴퓨터를 감염시킨 뒤 자료를 빼가는 ‘피싱’ 수법을 사이버 공격의 준비 단계에 활용했다. 한수원 전·현직 관계자들이 주요 표적이 됐다. 해커는 이메일에 담은 미끼성 메시지와 비밀번호 변경창 등을 통해 비밀번호를 확보한 뒤 한수원 관계자들의 이메일 편지함 등에서 자료를 끄집어냈다. 이렇게 얻은 정보로 해커는 지난해 12월 9~12일 한수원 직원 3571명에게 악성코드가 담긴 이메일 5986통을 살포했다. 하지만 이 공격은 실패했다. 합수단은 해커가 인터넷에 공개한 자료는 모두 이전 준비 단계에서 확보했다고 설명했다. 합수단은 연이은 범행이 북한 해커조직의 소행이라고 분석했다. 이메일 공격에 담긴 악성코드가 그간 북한 해커조직이 사용한 것으로 알려진 ‘김수키’(kimsuky) 계열 악성코드와 유사하다는 점을 결정적인 증거로 꼽았다. 김수키는 2013년 러시아 보안회사 카스퍼스키가 북한에서 만들었다고 추정한 악성코드다. 이번 사건에서 발견된 악성코드는 명령어 코드 조각의 모양새와 실행코드가 ‘윈도 메모장’을 통해 삽입되며 동작하는 방식 등이 김수키와 거의 같은 것으로 분석됐다. 합수단은 또 양쪽 악성코드에 한국에서 주로 쓰이는 ‘아래아 한글’ 프로그램을 공격 대상으로 한 최근 버그가 사용됐다는 점도 주목했다. 한국을 타깃으로 했다는 의미다. 합수단은 범행에 이용된 중국 선양 소재 IP 대역이 이전에 북한 해킹조직이 사용한 IP 대역과 9자리(모두 12자리)가 일치한다는 점도 판단 근거로 삼았다. 이 IP 대역은 무선인터넷 중계기를 통해 북한 압록강 주변에서 접속할 수 있다는 게 합수단의 설명이다. 합수단은 특히 해커가 역추적을 막기 위해 국내 인터넷 가상사설망(VPN) 서비스업체에서 할당받은 IP를 사용했는데, 이 중 접속 지역이 북한인 IP 25개, 북한 통신회사(KPTC)에 할당된 IP 5개가 지난해 12월 접속한 흔적을 발견했다고 강조했다. 지난 12일 트위터에 게시된 6번째 협박글도 지난해 말 5차례의 게시글과 같은 계정이 쓰였고, 접속에 사용된 IP는 러시아 블라디보스토크에 있는 것으로 조사됐다. 하지만 북한 소행으로 단정하기엔 역부족이라는 지적도 나온다. 전직 해커인 한 보안 전문가는 “북한 소행이라고 미리 결론지어 놓고 정보를 끼워 맞춘 것 같은 느낌”이라며 “김수키는 누구나 재생산할 수 있어 북한만 쓸 수 있는 게 아니다”라고 지적했다. 한편 북한은 대남 선전용 웹사이트 우리민족끼리를 통해 이 사건을 북한의 소행으로 결론 내린 것을 두고 “무지무능아의 엉터리 판단”이라며 합수단 수사 결과를 부인했다. 김양진 기자 ky0295@seoul.co.kr