경찰청 홍보팀 사칭 ‘해킹 예방 피해수칙’ 이메일에 北 제작 추정 악성코드 포함
외화벌이 및 정보탈취용으로 비너스락커 변종 랜섬웨어 제작·유포하기도

[보안뉴스 권 준 기자] 사드 배치 논란으로 촉발된 중국발 해킹 공격이 지난 주부터 급증하면서 이번 주가 중대고비를 맞이할 것으로 보이는 가운데 이번 사태를 틈타 북한의 해커조직도 우리나라를 타깃으로 ‘은밀하게’ 사이버 공격을 진행하고 있는 것으로 드러났다.


중국발 해킹 공격은 지난 주말부터 본격화되기 시작해 많은 국내 사이트들이 해킹 피해를 입었으며, 해킹 당한 홈페이지 방문시 파밍용 악성코드에 감염돼 피해자가 양산되고 있는 상황이다. 더욱이 중국 해커들의 대규모 공격 개시 시점인 28일에는 주형 및 금융 제조업 분야 중견그룹 및 국내 모 사이버대학 홈페이지가 중국 해커로부터 디페이스(화면 변조) 공격을 당해 각각 시진핑 중국 국가주석과 중국 국기인 오성홍기 사진이 게재되는 사건이 발생했다.

이러한 혼란을 틈타 북한의 해커조직은 우리나라의 특정 인물들을 대상으로 APT(지능형지속위협) 공격과 수익을 얻기 위한 랜섬웨어 공격을 병행하고 있는 형국이다.

악성코드를 전문적으로 분석·연구하는 한 보안전문가에 따르면 27일 경찰청 홍보팀으로 위장해서 ‘해킹 피해 예방수칙’이라는 한글 문서가 첨부된 이메일이 발송됐는데, 해당 한글 문서에 북한에서 제작한 것으로 추정되는 악성코드가 포함된 것으로 분석됐다.

특히, 해당 메일을 발송한 해커는 경찰청으로 위장하기 위해 메일주소에 police가 들어가는 경찰대학 도메인의 이메일 주소를 사용한 것으로 추정된다. 한글문서로 된 대용량 첨부파일을 다운로드해 열람 시 북한에서 제작한 것으로 보이는 악성코드에 감염되며, 감염된 PC 내의 문서 등 주요 자료들은 클라우드 서버로 탈취되는 것으로 드러났다.

이 뿐만 아니다. 북한 추정 해커조직은 외화벌이 목적으로 랜섬웨어를 제작해 유포하고 있는 것으로 알려졌다. 얼마 전 북한과 연계된 해커조직이 전 세계 100여개 금융기관에서 해킹으로 돈을 빼내려 했던 정황이 드러났다는 뉴욕타임즈(NYT) 보도로 파장이 커진 데 이어 최근 국내에서 발생한 ATM 기기 해킹까지 북한 추정 해커조직의 소행일 가능성이 제기된 바 있기 때문이다.

여기에다 최근 국내 기관과 기업을 겨냥해서 비너스락커 변종 랜섬웨어 공격이 꾸준히 진행되고 있는데, 해당 랜섬웨어 제작·공격자가 북한 해커조직이라는 일부 보안전문가들의 관측이 힘을 얻고 있다.

실제로 해당 랜섬웨어 공격자는 한국의 특정 연구소나 주요 기관 종사자를 대상으로 보안관련 파일, 연말정산 안내, 내부 지침 사항 공지 등을 사칭해 메일을 보내거나 법무법인에는 법률 상담 문의 메일을 보내는 등 국내 기업과 기관의 특징을 정확히 파악해 맞춤형 공격을 가하고 있는 것으로 조사됐다.

이렇듯 중국 해커들의 해킹 공격이 집중되는 시기에 북한 추정 해커조직도 은밀히 활동하면서 국내 웹사이트를 대상으로 정보를 탈취하고 수익도 얻고 있는 셈이다.

중국 해커들은 국내 웹사이트 화면을 변조해 사드 배치 반대 문구나 중국관련 이미지를 남기는 디페이스 공격 등을 통해 자신들의 주장을 펴는 한편으로, 일부는 SQL 인젝션 공격을 바탕으로 DB를 탈취하고 금품을 요구하는 사이버범죄자형 해커의 모습을 보이기도 한다.

북한 추정 해커조직도 APT 공격으로 특정인들의 주요 정보를 은밀히 수집하는 동시에 금융기관 타깃 사이버공격과 랜섬웨어 공격 등으로 ‘외화벌이’를 하는 양면 작전을 띠고 있는 상황이다.

중국 해커들의 집중 공격에 북한 추정 해커조직도 긴밀하게 움직이고 있어 우리나라의 인터넷 환경은 그야말로 진퇴양난에 빠져 있다. 특히, 중국발 해킹 공격이 이번 주 중대고비를 맞고 있는 상황에서 이번 사태에 가려 북한발 사이버공격 상황을 놓치는 일이 없도록 각별한 대비와 주의가 필요해 보인다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>