국내에서 활동하는 탈북자 등을 겨냥한 북한 측의 해킹 공격이 점차 지능화되고 있다. 클라우드 서비스 사업자가 보낸 메일로 위장하거나 모바일 메신저를 통해 접근하는 등 공격 수법이 다양해졌다. 보안업체 이스트시큐리티는 지난 24일 대북단체 관계자를 대상으로 한 이메일 피싱 공격이 발견됐다고 25일 발표했다. 공격 대상을 사전에 파악해 작살(spear)로 찍어내듯 공격하는 ‘스피어 피싱’ 방식이 활용됐다고 설명했다.

삼성 클라우드가 보낸 메일로 위장

피싱에 사용된 악성 이메일은 삼성 클라우드 서비스에서 공식 발송한 것처럼 정교했다. 이메일 본문에는 ‘클라우드 갤러리 사용이 확인됐다’는 안내와 함께 ‘자주 묻는 질문’ 링크를 장착했다. 메일 수신자의 궁금증을 유발할 수 있도록 강조된 글씨체로 표현했다. 이 인터넷 주소(URL)를 클릭하면 기기 정보가 탈취된다.

이스트시큐리티는 공격의 배후로 북한 정부의 지원을 받는 것으로 추정되는 해커 조직 ‘탈륨’을 지목했다. 피해를 조사하는 과정에서 이 조직이 쓰는 IP 주소가 발견됐다. 탈륨은 대북단체뿐만 아니라 북한 연구자, 탈북민 등 북한 관련 개인 및 단체를 집중 공격하고 있는 조직이다. 지난 12일에는 북한 전문 취재기자를 상대로 한 공격이 발견되기도 했다. 네이버 이메일의 로그인 화면을 위장한 사이트를 활용했다.

북한은 과거 한글과컴퓨터 문서(hwp 파일)의 취약점을 활용한 해킹 공격을 주로 해왔다. 그러나 최근 hwp 파일을 통한 공격을 줄이고 마이크로소프트(MS) 워드 문서(doc 파일)의 ‘매크로’ 기능을 악용한 공격을 늘리는 등 해킹 수법을 변주하고 있다. PC가 아니라 스마트폰을 대상으로 한 해킹도 많아졌다. 카카오톡 등 모바일 메신저를 활용한 피싱 공격이 대표적이다. 한 보안업체 관계자는 “북한은 미리 정해둔 대상을 바로 공격하는 게 아니라 주변 사람의 스마트폰부터 해킹해 공격 대상에게 메신저로 다가가는 수법을 쓰고 있다”고 말했다.

미국·영국 항공우주업체 공격도

북한은 한국뿐만 아니라 미국, 영국, 이스라엘 등 세계 각국을 노린 공격을 확대하고 있다. 미국 국토안보부 사이버인프라안보국(CISA)과 연방수사국(FBI)은 최근 북한 사이버 공격에 관한 분석 보고서를 내놨다. 록히드마틴, 보잉, BAE시스템즈 등 글로벌 항공우주 기업들이 공격에 노출됐다는 내용이 포함됐다.

북한의 해킹 능력은 세계 최고 수준이라는 게 보안업계의 평가다. 현재 총 7000여 명에 달하는 해커가 북한 정찰총국 산하 조직인 라자루스, 안다리엘 등에서 활동하고 있는 것으로 알려졌다. 북한은 2014년 한국수력원자력 해킹 사건, 2019년 10월 태영호 미래통합당 의원(당시 후보) 스마트폰 해킹 사건 등의 배후로 지목됐다. 보안업계에서는 알려지지 않은 사건이 훨씬 많을 것으로 보고 있다.

문종현 이스트시큐리티 시큐리티대응센터장은 “지금 이 순간에도 북한은 정부 차원의 공격을 감행하고 있다”며 “오래된 해킹 수법에도 무방비인 곳이 대다수”라고 지적했다.

최한종 기자 onebell@hankyung.com