이메일 스피어피싱, 스마트폰 해킹, 워터링홀, 공급망 공격, 개인 SNS 접근공격 주로 사용전 국무부 차관보 “북한 해커들이 번 돈으로 핵·탄도미사일 개발 비용 충당해”
  • ▲ 지난해 8월 북한해커가 뉴데일리 기자에게 보낸 스피어피싱용 이메일. ⓒ해당 메일 캡쳐.
    ▲ 지난해 8월 북한해커가 뉴데일리 기자에게 보낸 스피어피싱용 이메일. ⓒ해당 메일 캡쳐.
    우리 국민 대부분은 해킹, 스미싱 등 사이버 공격이 중국 해커들의 소행이라고 생각한다. 그러나 보안전문가에 따르면, 북한도 우리 국민을 대상으로 광범위하고 다양한 형식의 해킹 공격을 일삼고 있다.

    전문가 “북한 해킹 유형 5가지…이메일 스피어피싱이 대표적”

    보안전문가인 ESRC(이스트시큐리티대응센터) 문종현 센터장은 북한의 해킹 유형에 크게 다섯 가지가 있다고 설명했다. 이메일 스피어피싱과 스마트폰 해킹, 워터링홀, 공급망 공격, 개인 SNS 접근 공격이다.

    문종현 센터장은 “이 가운데 북한이 가장 많이 쓰는 수법은 이메일 스피어피싱”이라고 설명했다. 이메일 스피어피싱은 공격목표로 지목한 사람에게 메일을 보내 악성코드에 감염되도록 유도하는 수법이다. 북한 연구자나 기자, 정부 당국자들을 공격할 때 주로 사용하고 있다.

    이메일 스피어피싱은 과거 스팸메일 형태로 사용했다. 하지만 북한의 이메일 스피어피싱은 목표인물을 정한 뒤 그의 지인이나 알 만한 정부당국자, 전문가 또는 기관 명의로 이메일을 보내 해킹이라고 의심하지 않게 만든다. 북한은 이를 위해 목표인물과 교류하는 사람 또는 기관의 이메일 계정을 사전에 해킹한다. 때문에 메일을 받은 목표인물은 이것이 사이버 공격인지 알아차리기 어렵다고 문 센터장은 지적했다.

    “엄마, 나 폰 고장 났는데…” 자녀 사칭하는 스마트폰 해킹

    두 번째는 스마트폰 해킹이다. 중년 이상인 사람 가운데 “엄마(또는 아빠), 나 폰이 고장 나서 그러는데 카카오톡에 친구추가 해줘”라거나 “나 지금 폰이 안 돼서 PC로 메시지를 보내고 있다”는 등의 문자메시지를 받은 사람이 적지 않을 것이다. 그리고 상대방은 구글플레이 상품권을 사달라는 등의 요구를 한다. 그런데 북한도 이런 식으로 해킹을 하고 있다고 문종현 센터장은 설명했다.

    북한은 주로 운영체계(OS) 개발이 자유로운 안드로이드 스마트폰 사용자를 해킹 목표로 삼는다. 북한은 목표 인물에게 이런 문자메시지를 보내 카카오톡 등 메신저앱에 친구 추가를 하도록 시킨 뒤 해킹을 한다. 악성코드를 품은 앱을 설치하도록 유도하는 스미싱과 유사하다.

    그러나 북한해커는 개인정보를 빼내거나 돈을 빼앗는데 그치지 않고 스마트폰 시스템을 장악해 통화내용과 주변 목소리 녹음, GPS 위치추적, 카메라 해킹 등으로 정보도 빼낸다는 점이 다르다. 문종현 센터장에 따르면, 과거 태영호 국민의힘 의원도 이런 방식으로 북한 해커에게 공격을 당했다.
  • ▲
    ▲ "엄마, 나 폰 고장났어"로 시작하는 스미싱 문자. 북한해커도 이런 공격을 하고 있다고 한다. ⓒ온라인커뮤니티 보배드림 캡쳐.
    목표인물이 알아챌 수 없는 워터링홀 공격과 공급망 공격

    또 다른 공격 유형은 워터링 홀 공격과 공급망 공격이다. 이 공격은 목표가 된 인물이 해킹 시도 자체를 알아챌 수가 없다. 워터링홀 공격은 목표인물이 종종 방문하는 사이트에다 악성코드를 심어 이곳을 방문하면 감염되도록 하는 방식이다. 목표인물은 웹서핑을 하다가 사이트에 한 번만 방문해도 감염된다. 해킹을 당한 사실도 알아차리기 어렵다.

    공급망 공격은 목표인물이 아니라 그가 근무하는 조직이 사용하는 소프트웨어를 노린다. 예를 들어 2016년 9월 발생한 국방부 인트라넷 해킹의 경우 북한은 민간업체가 납품한 보안프로그램 백신중계서버의 허점을 노렸다.

    북한은 보안프로그램 업체의 백신중계서버를 장악한 뒤 군 인트라넷에 침입해 기밀을 빼갔다. 당시 국방 인트라넷에 연결된 PC 700여 대가 악성프로그램에 감염됐다. 한민구 당시 국방장관의 PC도 감염된 것으로 전해졌다. 이 사건으로 군 관계자 20여 명이 징계를 받았다. 북한은 2020년에는 지자체와 지방교육청 등에 주차요금정산 서비스를 제공하는 업체를 해킹했다.

    페이스북 등에서 미인계 활용하는 개인 SNS 공격

    마지막은 가짜 프로필로 SNS 계정을 만든 뒤 이를 이용해 목표인물에게 접근하는 SNS 공격이다. 2016년 3월 국가정보원은 “북한 해커들이 유령조직에 근무하는 미모의 여성으로 위장한 페이스북 계정을 이용해 전·현직 공직자 수십 명과 친구를 맺은 뒤 정보를 빼내거나 남남갈등을 부추기는 시도를 했다”고 밝혔다.

    국정원에 따르면, 북한 해커들은 트위터, 페이스북 등에 가짜 프로필을 만들고, 젊은 미녀들의 섹시한 사진을 올린 뒤 안보기관 당국자나 외교안보 연구기관 종사자 등에게 미인계를 쓰거나 공부하는 학생인데 관련 지식을 배우고 싶다며 접근했다는 설명이었다. 당시 안보기관 당국자 가운데 이런 공격에 당한 사람이 적지 않은 것으로 알려졌다.

    해킹으로 핵·탄도미사일 개발비용 충당하는 북한

    북한의 해킹은 탄도미사일 시험발사와 같은 주목을 끌지는 못하지만 공격 대상이 광범위한데다 끊임없이 이뤄지고 있어 오히려 더 치명적이라는 게 전문가들의 평가다. 특히 북한은 핵무기와 탄도미사일 개발에 필요한 자금을 암호화폐 거래소 공격 등의 해킹을 통해 충당하고 있는 것으로 알려졌다.

    미국 국무부에서 사이버 조정관을 지낸 크리스토퍼 페인터 전 차관보는 지난 25일 미국서 열린 한 화상 간담회에서 “북한 정권은 해커들이 벌어들인 외화를 핵무기 개발 등 다수의 목적에 사용하고 있다”면서 “북한의 해킹은 수익을 얻는 데 집중돼 있다는 것이 특징”이라고 밝혔다. 최근 논란이 되는, 스마트폰 공격을 통한 구글 플레이 상품권 사기에 북한 해커가 관련돼 있을 수도 있다는 의미다.

    미국의 소리(VOA) 방송은 이와 관련해 “암호화폐 분석업체 체이널리시스의 최근 보고서에 따르면, 북한 해커들은 지난해 7번에 걸쳐 가상화폐 거래소와 투자회사를 공격해 3억9500만 달러(약 4730억원) 어치의 암호화폐를 훔쳤다”고 전했다.