“한수원 공격했던 北해커, 38노스 위장해 해킹 시도”
-
2014년 12월 한국수력원자력을 해킹했던 북한 해커 ‘김수키’가 최근 한국과 미국의 북한전문가들을 대상으로 해킹을 시도 중이라고 <자유아시아방송(RFA)>이 보안업체 ‘이스트 시큐리티’를 인용해 보도했다.
- ▲ 북한 해커 '김수키'가 미국의 한반도 전문가들을 해킹할 때 사용한 '38노스' 보고서. 아래에 '한국어 키보드 작성' 표시가 보인다. ⓒ이스트 시큐리티-자유아시아방송 관련보도 화면캡쳐.
‘이스트 시큐리티’에 따르면, ‘김수키’는 미 씽크탱크 ‘스팀슨 센터’ 산하 북한전문연구팀 ‘38노스’의 보고서에 악성코드를 심은 뒤 이를 메일에 첨부해 전문가들을 낚고 있다. 첨부 파일을 여는 순간 PC가 감염되는, 일명 ‘스피어 피싱’ 공격이다.
‘이스트 시큐리티’에 따르면, ‘김수키’ 조직은 지난 1일 ‘38노스’ 소속 연구원으로 위장해 미국의 북한전문가들에게 MS 워드로 작성한 파일을 보냈다. 파일 내용은 ‘38노스’가 2017년에 공개한 보고서 ‘북한의 6차 지하 핵실험 때 관측된 지표 분열’이었다. 풍계리 핵실험장 일대에서 광범위한 지표 변화를 설명한 자료다.
하지만 이 메일은 ‘38노스’ 연구원이 보낸 게 아니었다. ‘38노스’가 보낸 문서라면 영어 윈도우 OS 환경에서 작성돼야 하지만 실제 문서는 한국어 OS가 깔린 PC에서 작성된 것이었다.
‘이스트 시큐리티’는 “김수키 조직은 미국뿐만 아니라 한국의 북한전문가를 대상으로도 지난 2일 ‘안보정세: 북·러 정상회담 결과 보고’라는 한컴 오피스(HWP) 문서를 보내 ‘스피어 피싱’을 시도했다”고 밝혔다. 미국인들은 주로 MS워드 파일을, 한국인들은 HWP 파일을 많이 사용한다는 데 착안한 해킹이었다.
‘이스트 시큐리티’의 문종현 이사는 “김수키 조직이 신분을 위장해 한국과 미국을 상대로 사이버 작전을 수행하는 중”이라며 “지난 4월에 이어 5월에도 이들의 활발한 움직임이 포착되고 있다”고 지적했다. 문 이사는 “이들은 ‘카카오톡’을 비롯해 ‘텔레그램’, ‘스카이프’ 등 메신저를 사용해 각종 소프트웨어 개발 대행에서부터 해킹 도구 제작까지 하고 있는 정황을 포착했다”며 주의를 당부했다.
<자유아시아방송>에 따르면, 북한 해커들은 국내에 있는 북한인권단체와 탈북자를 대상으로도 해킹을 시도 중이다. 한 탈북 작가는 최근 북한 해커로 추정되는 인물로부터 수상한 이메일을 3번 받았다며 경찰 사이버 수사대에 수사를 의뢰했다고 밝혔다.
