한미정상회담에서 양국이 사이버보안 협력을 강조한 이후 북한의 해킹 공격이 다양한 형태로 계속 이어지고 있다. 북한 해커로 추정되는 집단이 정부 기관 등을 사칭해 특정 대상을 겨냥한 해킹 공격을 하는 것은 물론 국적을 속이고 위장취업을 하는 등 다양한 해킹 수법이 동원되고 있다.
3일 이스트시큐리티에 따르면 지난달 북한이 배후인 것으로 추정되는 해커가 '월간북한동향'으로 위장한 해킹 메일을 북한 분야 연구진 등 대북 전문가에게 보냈다. 월간북한동향은 통일부가 매달 발간한다. 실제 통일부가 사용하는 로고가 삽입된 해킹 메일에 첨부된 '월간북한동향(2022년 4월).PDF'라는 문구를 클릭하면 위장된 네이버 혹은 카카오 로그인 화면이 뜨고, 여기에 입력한 개인정보가 해커에게 유출되는 형태다.
'금성121′ 북한 연계 해킹 조직으로 추정되는 또 다른 해커는 지난달 문화체육관광부 산하 한국정책방송원(KTV)의 유튜브 방송 출연 섭외로 위장한 한글(HWP) 악성 문서를 대북 전문가에게 보냈다. 이스트시큐리티에 따르면 이번 공격은 실제 존재하는 KTV의 온라인 정책시사저널 프로그램 유튜브 방송을 사칭한 형태로 수행됐다. HWP 한글 문서 내부에 악성 개체 연결 삽입(OLE) 명령을 추가해, 문서가 실행될 때 통상 볼 수 있는 '상위 버전에서 작성한 문서입니다' 화면을 보여줘 이용자가 의심 없이 파일을 열어보게 했다.
문종현 이스트시큐리티 시큐리티대응센터(ESRC) 센터장 이사는 "새 정부 출범 이후에도 북한 소행으로 판단되는 사이버 안보 위협은 멈출 기미가 보이지 않으며, 해킹 대상자를 현혹하기 위한 보다 세련된 방식의 접근 수법도 진화를 거듭하고 있다"라며 "특히, 민간분야를 대상으로 한 북한 연계 사이버 위협이 날이 갈수록 고조되고 있다"라고 했다.
특히 최근 북한과 연계된 해커조직은 불특정 다수가 아닌 특정 개인이나 기관을 대상으로 하는 해킹 수법인 '스피어 피싱'을 반복적으로 사용하고 있다. 북한 관련 문제에 특히 깊게 관여한 이들을 대상으로 실제 관련 기관 등이 사용하는 명칭 등과 동일하게 관련 피싱 이메일을 보내다 보니, 해킹 적중률은 높아질 수밖에 없다.
염흥열 순천향대 정보보호학과 교수는 "피싱은 일반 사용자를 대상으로 하는 사이버 공격이지만, 스피어 피싱은 목표를 정해 공격하는 방식으로 북한엔 효과적인 사회공학적 해킹 방법이다"라며 "최근 한미정상회담 등에서 사이버안보의 중요성이 강조된 가운데 이러한 북한으로부터의 고도화된 해킹 공격에 양국이 사이버안보 비서관을 통해 서로 정보 공유를 하며 긴밀하게 협력해 대응해야 한다"라고 했다.
더 나아가 보다 조직적인 북한의 해킹 시도의 움직임도 포착되기도 했다. 미국 재무부·국무부·연방수사국(FBI)은 지난 5월 공동명의 권고안에서 북한이 다른 나라 국적으로 사칭한 정보기술(IT) 인력을 전 세계에 파견해 외화 수입원으로 활용하는 한편 핵·탄도미사일 프로그램 개발 등에 필요한 자금을 벌어들이고 있다고 밝혔다. 재무부 등은 권고안에서 "북한 IT 인력은 북한 국적이라는 것을 숨긴 채 미국, 유럽, 동아시아를 포함해 전 세계에서 소프트웨어와 모바일 애플리케이션(앱) 개발 같은 특정 IT 기술을 필요로 하는 업체와 프리랜서 고용 계약을 하고 있다"라며 북한 IT 근로자가 직접 사이버 해킹을 하지는 않더라도 "계약자로서 얻은 기밀 접근권을 악성 사이버 활동이 가능하게 하는 데 사용해왔다"라고 했다.
임종인 고려대 정보보호대학원 석좌교수는 "북한 인력이 해외에 파견을 나가 해킹에 가담하는 경우도 있고, 필리핀이나 브라질 등 자국 산업이 제대로 육성되지 않은 국가의 해커를 사이버 용병으로 사용하는 경우도 있다"라며 "북한의 사이버 위협이 한·미 양국의 공통 위협이라는 점이 확실해진 가운데 이러한 북한의 해킹 시도에 양국이 더 적극적으로 협력할 것이 기대된다"라고 했다.