"악성코드가 담긴 파일을 보낸 공격자는 다음(Daum)의 한메일 계정"

통일부 기자단에 공격을 감행한 해커가 한글을 구사한다는 점을 보여주는 증거(사진=RFA)

통일부 기자단에 악성코드가 담긴 이메일을 배포한 해커가 실제로 사용한 숨겨진 전자메일 계정과 공격 서버과 확인됐다

RFA가 북한 소행 추정 해커가 보낸 이메일을 익명의 사이버 보안 전문가들과 공동으로 분석한 결과, "북한과 연관된 것으로 추정되는 해커는 세계 최대 인터넷 기업인 구글(Google)의 지메일(gmail) 계정과 해외 6개국에 본부를 둔 웹호스팅 서버 업체인 ‘호스팅어’(Hostinger) 서버를 사용해 통일부 기자단에게 사이버 공격을 감행했다"고 밝혔다.

지난 7일 통일부 기자단 77명에게 악성코드가 담긴 파일을 보낸 공격자는 한국 인터넷 기업인 다음(Daum)의 한메일 계정인 윤홍근으로 드려났다. 

이 한메일 계정으로 첨부된 악성코드 파일이 실행되면, 해커가 만든 구글 드라이브로 접속하게 돼 개인정보가 유출되며, 구글 드라이브 생성에 사용된 실제 해커가 개설한 구글 이메일 계정도 밝혀졌다.

또 북한과 연관된 것으로 추정되는 해커는 웹호스팅 서버 업체인 ‘호스팅어’를 가입한 후 공격용 서버를 개설해, 해킹 자료 수집용으로 사용했으며, 현재 이번 사건에 이용된 서버는 네덜란드에 위치한 것으로 나타났다.

하지만 웹호스팅업체 설정에 따라 서버 위치의 국가는 변동되기 때문에 추적을 어렵게 하기 위해 자국에 위치한 서버 대신 웹호스팅 업체의 서버를 이용한 것으로 추정됐다.

이번 통일부 기자단 이메일 공격에서 눈에 띄는 점은 이번 공격자가 공격용 서버에 추가로 남긴 파일에서 ‘용량이 2메가 안넘음’이란 한글로 작성된 흔적을 남겼다고 RFA는 전했다.

따라서 이번 공격자의 국적을 정확히 알 수 없지만, 이번 공격을 감행한 해커가 한글을 구사한다는 점이 확인됐다.

이번 공격은 지난해 5월 발생했던 ‘판문점 선언 관련 내용’ 해킹 공격사건과 유사한 수법을 사용했다.

지난해 5월 당시에도 한글파일(hwp)의 취약점에 의해 생성되는 악성파일에 구글 드라이브 계정과 ‘호스팅어’ 서버를 사용하는 공격 유형을 보였다.

지난해 5월 당시에는 ‘정영철’이란 이름이 구글 드라이브의 소유자로 나타났고, 이번 통일부 기자단 공격자는 한글파일에 ‘CBS’란 이름을 사용했다.

한편, 자유아시아방송은 7일 "이번 통일부 기자단 해킹 이메일을 보낸 공격자가 사용한 이메일 계정과 서버와 관련해 각각 구글과 호스팅어 본사에 문의했지만 7일 오후 현재까지 답변하지 않았다"고 덧붙였다.@

 

저작권자 © SPN 서울평양뉴스 무단전재 및 재배포 금지