지난 9일 이스트시큐리티에 따르면 북한이탈주민(탈북민) 자문위원들에게 의견을 수렴하는 내용으로 위장한 북한 연계 스피어 피싱 공격 사례가 발견됐다. 이번 공격에는 '제20기 북한이탈주민 자문위원 대상 의견수렴_설문지'라는 제목의 한글(HWP) 악성 문서가 활용됐다. 지난달 28일 자유북한운동연합이 "25~26일 경기 김포서 대북전단 약 100만장을 살포했다"고 밝힌 것에 대해 의견을 묻는 것처럼 사칭한 문서였다.
해커조직은 한글의 '개체연결삽입'(OLE) 기능을 악용, 문서 실행시 '상위 버전에서 작성한 문서입니다' 등 한글 문서에서 흔히 볼 수 있는 가짜 메시지 창을 띄워 클릭을 유도했다. 이스트시큐리티의 시큐리티대응센터(ESRC)는 이번 공격 수법이 이전 북한 연계 사이버 공격 사례와 일치하다고 보고 있다. 배후로 지목된 조직은 밝혀지지 않았다. 이스트시큐리티 관계자는 "공격 효율성을 높이기 위해 탈북민 관련 내용을 관리하는 정부·기관 등을 노린 공격으로 보인다"고 설명했다.
국내 주요 인사들을 대상으로 한 스피어 피싱 시도는 꾸준히 발견되고 있다. 지난 3월, 통일부 공식 문서처럼 위장한 이메일로 대북전문가 및 관련 종사자들의 정보를 탈취하려는 공격 사례가 발견됐다. 이메일은 실제 통일부 화면 디자인을 일부 모방한 모습이었다. 본문 하단에 '남북관계_주요일지(2022년 2월).hwp' 파일을 첨부한 것처럼 속였고, 발신지 주소도 '통일부 <nkanalysis@unikorea.go.kr>' '통일연구원<mail-admin@kinu.or.kr>' '국가안보전략연구원 <insspost@inss.re.kr>' 등 공식 주소처럼 정교하게 조작했다. 같은 달 글로벌 보안 업체 '스테어웰'(Stairwell)은 미국 NK뉴스 기자들을 타깃삼은 이메일 해킹 공격을 분석해 북한 연계 해커조직 'APT37'를 배후로 지목하기도 했다.
한 보안업계 관계자는 "스피어 피싱의 목적은 금전 탈취라기보다 정부·언론 관계자, 고위공직자 등의 개인정보를 탈취한 뒤 이를 약점 삼아 해커들이 원하는 행동을 유발시키려는 것"이라며 "과거에는 문서를 열고 해킹프로그램 작동 시 화면이 전환되는 등 이용자가 공격 사실을 인지할 수 있었지만, 최근에는 이를 눈치채지 못할 만큼 정교하고 교묘해지고 있다"고 말했다. 첨부된 문서가 정상적으로 보여도 이면에는 해킹 프로그램이 다운로드·실행돼 피해를 입게 되는 것이다.
이어 "사실상 본인과 전혀 관련없거나 의심가는 메일을 최대한 열어보지 않는 것 외에는 차단할 방법이 없는 상황"이라며 "북한 해커들은 스피어 피싱에 앞서 대상을 선정한 뒤 '이런 파일은 열어볼 것'이라고 판단하고 계획적으로 움직인다. 북한의 사이버 공격은 수도 없이 진행되고 있고 지속적인 방어가 중요하다"고 덧붙였다.
[저작권자 @머니투데이, 무단전재 및 재배포 금지]