한미연합훈련 겨냥했나…北, 무력도발 대신 해킹 공격

[이데일리 김미경 기자] 최근 국내 외교·안보 전문가를 노린 북한 연루 추정 해킹 시도가 광범위하게 벌어지는 것으로 나타났다. 일각에선 이달 8일부터 시작한 한미연합 군사훈련을 겨냥한 북측의 사이버 도발이라는 관측도 나온다.

10일 국내 보안업체인 이스크시큐리티에 따르면 국내 통일·외교·안보 전문가로 활동하는 인물을 대상으로 한 사이버 공격이 최근 집중 포착됐다.

이스트시큐리티는 이날 블로그를 통해 “최근 국내 언론사, 민간 정책연구소, 전문학회 등을 사칭해 안보·통일·외교 정책 분야 전문가를 대상으로 전 방위적 해킹 시도가 지속적으로 수행되고 있다”며 “각별한 주의가 필요하다”고 밝혔다.

사이버 공격은 전문가들에게 논문이나 기고문 요청, 학술회의 세미나 참석 신청서, 사례비 지급 의뢰서, 개인정보 이용 동의서 등 악성파일을 첨부한 메일을 보내는 식이다.

북한 연계 해커그룹 탈륨이 국내 외교안보 분야 전문가에게 보낸 것으로 추정되는 악성코드가 담긴 문서 파일(사진=이스트시큐리티 블로그/뉴스1).

한 원고의뢰서에는 국내 특정 매체 이름으로 ‘북핵 억제를 위해 바이든 행정부가 취할 수 있는 외교적 조치’, ‘한미연합훈련에 대한 바이든 행정부의 견해’ 등을 질의하는 내용이 담기기도 했다.

지난 8일 시작된 한미연합훈련에 대한 관심이 높아진 틈을 타 이른바 스피어 피싱을 감행하는 것으로 풀이된다.

이번 해킹의 배후로는 북한과 연계된 것으로 알려진 해커그룹 ‘탈륨’(Thallium)이 지목됐다. 탈륨은 지난 2019년 미국 마이크로소프트(MS)사로부터 고소당하면서 국제적 관심을 불러일으킨 해킹 조직이다.

탈륨은 국내 외교·통일·국방 등 분야의 전·현직 관계자를 대상으로 활발한 활동을 펼치고 있는 것으로 전해진다. 과거엔 관계기관·단체를 사칭하면서도 이메일 제목 등에 ‘조선로동당’과 같은 북한식 표기를 사용해 수신자가 쉽게 걸러낼 수 있었으나, 최근엔 ‘노동당’ 등 한국식 표기법을 쓰고 있는 것으로 알려져 “민·관 모두 각별한 주의와 관심이 요구된다”는 게 업계 전문가들의 설명이다.

업체는 “해킹 이메일에 속은 수신자가 회신할 경우 공격자(해커)는 나름 적극적으로 답변하는 등 신뢰 기반을 동원한 전술이 갈수록 과감하고 노골적인 양상으로 진화하고 있다”며 “얼마 전 통일부를 사칭한 피싱 공격도 이들(탈륨) 소행으로 확인됐다”고 부연했다.

한 보안업계 관계자도 “요즘 북한은 물리적인 무력 도발보다는 투입 비용 대비 효율적인 사이버 도발을 더 선호하는 것으로 보인다”고 말했다.