北해커, 일부 방송사 기자에 해킹 메일 뿌려
by김국배 기자
2022.02.03 16:30:26
''사내 금융업무 상세내역''이란 제목의 악성 파일 포함
외교·안보·통일 분야 취재 기자 겨냥
북한 조직 ''탈륨'' 소행 추정…"방송사 공격 통로 가능성 주의"
[이데일리 김국배 기자] 북한과 연계된 것으로 추정되는 해커 조직이 방송사 기자 등을 노리고 해킹 공격을 시도한 정황이 포착됐다.
3일 국내 사이버 보안업체 이스트시큐리티에 따르면 이날 아침부터 일부 지상파 방송사와 뉴스 전문 채널 등에서 종사하는 기자들을 상대로 해킹 메일이 유포되고 있다. 외교·안보·통일 분야 등을 취재하는 기자들이 주 타깃이다.
| 북한으로 추정되는 해커 조직이 유포한 악성 메일 (사진=이스트시큐리티) |
|
이 메일은 ‘사내 금융업무 상세내역’이라는 제목의 압축 파일을 첨부하고 있다. 첨부 파일에 포함된 워드 문서 파일을 실행하면 해외에 만들어진 해커 서버와 통신하며 컴퓨터 정보 수집, 원격 제어 등 공격자의 의도대로 악성 행위를 수행하게 된다.
해당 파일이 최종 수정된 시점은 설 연휴 기간인 지난 29일이다. 문서에는 알 수 없는 회원 번호와 이름 결제 금액, 은행명, 계좌번호 등이 상세히 적혀 있다. ‘현시’라는 북한식 표현도 쓰였다.
이스트시큐리티는 북한 해커 조직인 ‘탈륨(Thallium)’이 악성 메일을 보낸 것으로 분석했다. 탈륨은 지난 2020년 미국 마이크로소프트(MS)로부터 고소를 당해 국제사회의 주목을 받은 해커 조직이다. ‘김수키’라는 이름으로도 불리며, 북한을 배후에 둔 것으로 보안업계는 분석하고 있다. 주로 대북 분야 종사자들에게 피싱 공격을 해왔다.
문종현 이스트시큐리티 이사는 “이번에 발견된 문서는 ‘프리헌터(Freehunter)’라는 계정에서 만들어졌는데 과거 다른 북한 해킹 공격에서도 사용된 이력이 있다”며 “문서 내에 ‘현시’라는 북한식 표현도 발견됐다”고 설명했다.
특히 기자들이 사용하는 PC가 감염되면 방송사 내부 시스템으로 침투하는 통로로 쓰일 수도 있다는 점에서 주의가 필요하다는 지적이다. 더군다나 대선을 앞두고 있어 긴장감을 가져야 할 시점이다. 2013년 국내 주요 방송사들과 은행 등은 북한의 공격으로 전산망이 마비되는 ‘3·20 사이버 테러’를 겪은 바 있다. 한국인터넷진흥원(KISA) 등 관계 기관도 이런 사실을 인지하고 대응 중이다.
북한은 탈륨 외에도 2017년 워너크라이 랜섬웨어 공격을 일으킨 ‘라자루스’, 2016년 방글라데시 중앙은행을 해킹한 ‘블루노로프’ 등을 운영하는 것으로 알려지고 있다. 라자루스의 경우 최근 해킹 공격으로 지난해 4억 달러(약4700억원) 규모의 암호화폐를 빼돌렸다는 내용의 보고서가 나오기도 했다.