"탈북민 도움 부탁드립니다"…北 해킹조직, 북한 전문가 해킹 시도

이미지투데이

북한 정찰총국 산하 해커조직 ‘김수키’가 소셜미디어(SNS)에서 한국 대북 분야 종사자를 대상으로 ‘스피어피싱’(특정한 개인 또는 단체를 겨냥한 사이버 피싱) 공격을 시도한 정황이 드러났다.

12일 보안 업계에 따르면 최근 지니언스(263860) 재무분석차트영역상세보기 시큐리티 센터는 올해 3월부터 4월까지 국내 페이스북·이메일·텔레그램 이용자를 겨냥한 김수키의 지능형지속위협(APT) 공격을 포착했다는 내용을 담은 보고서를 발간했다.

보고서에 따르면 공격자는 페이스북 계정 2개를 통해 정찰·공격 대상을 탐색했다. 특히 ‘트랜지셔널 저스티스 미션’(Transitional Justice Mission)이란 페이스북 계정을 통해 교회 전도사, 연구원 목사 등으로 신분을 소개하며 국내 대북 분야 종사자 다수에게 메신저 대화를 시도했다. 이들은 북한 선교 활동을 위한 도움을 요청한다는 명목으로 ‘북한 선교의 현황’과 같은 이름의 악성파일을 전송했다.

다른 페이스북 계정은 한국인 남성으로 추정되는 프로필 사진과 함께 자신을 공군사관학교 출신으로 소개하며 대상에 접근했다. 이후 탈북민 봉사활동을 언급하며 대상자를 현혹한 뒤 페이스북 메신저 등을 통해 악성파일을 전달했다.

시큐리티 센터는 “대화 메시지에 포함된 한글 표현을 살펴보면 일부 축약식 표현과 오탈자가 관찰된다”며 “이는 대화형 인공지능(AI) 서비스나 온라인 번역기를 통한 것이 아님이 분명하다”고 분석했다.

페이스북 메신저 대화로 알아낸 공격 대상자의 이메일 주소를 통해 추가 접근도 시도한 것으로 나타났다. 공격 대상자의 스마트폰 번호까지 아는 경우에는 텔레그램 메시지를 통해 탈북민 봉사활동이란 일관된 주제를 언급하며 대상자를 현혹했다.

지니언스 시큐리티 센터는 “국가 차원에서 이뤄지는 지능형 지속 공격(APT)은 매우 조용하게 진행되고 있다”며 “갑자기 전달받은 인터넷 인터넷주소(URL)나 파일에는 위협 요소가 포함된다는 가능성을 항상 염두에 두고 항상 의심하고 주의하는 보안 습관이 중요하다”고 당부했다.