북한 추정 해킹조직이 이른바 ‘스피어피싱’ 수법을 통한 사이버 공격을 재개한 정황이 포착됐다.

북한 추정 해킹조직인 ‘금성121’이 3월 초부터 사이버 공격을 재개했다고, 한국 사이버보안 전문회사 ‘이스트시큐리티 대응 센터’가 밝혔다.

이 단체는 30일 발표한 보고서에서, 금성121이 한국 내 사이버 공간을 거점 삼아 주로 외교·안보분야 종사자나 대북관련 단체장 또는 탈북민을 겨냥한 공격을 가속화하고 있다고 지적했다.

그러면서 해킹 활동에는 ‘스피어피싱(Spear-phishing)’ 수법이 사용됐다고 설명했다.

스피어피싱이란 불특정 다수가 아니라 특정 개인과 기업, 기관 등을 겨냥하는 사이버 공격 수법을 말하고 있다.

보고서에 따르면, 금성121은 탈북민 관련 내용으로 위장된 이메일을 보내 피해자가 이메일에 첨부된 링크를 누르도록 유도해 이 과정을 거쳐 피해자는 탈북민 관련 정보 대신 악성 파일을 내려받게 된다고, 설명했다.

이 악성파일이 작동하면 피해자들의 컴퓨터에 일종의 ‘뒷문(backdoor)’이 생겨, 해커들이 그 경로를 통해 정보 등을 빼낼 수 있다고 했다.

보고서는 악성 파일을 이메일에 직접 첨부했던 기존 방식과 달리 인터넷 주소를 첨부하는 방식을 택한 것이 이번 공격의 특징이라고 설명했다.

다만 해킹조직이 이같은 공격을 통해 찾고 있던 정보를 유출하는 데 성공했는지, 그리고 이들이 노린 금전적 이득이 무엇인지는 밝혀지지 않았다고 말했다.

대신 지난해 이 해킹조직이 탈북자 지원 단체 등을 대상으로 사이버 공격을 감행했던 점을 지적하면서, 당시에는 탈북자들을 위한 모금 어플리케이션을 가장한 악성 앱으로 탈북민과 북한 관련 단체들을 겨냥했다고 설명했다.

또 전형적으로 이 조직이 한국의 통일과 외교, 국가안보 관련자들에게 초점을 맞추고 있다고 덧붙였다.

금성121은 지난해 4월 한국 통일부를 사칭해 대북단체 활동가와 일부 한국 취재진에게 사이버 공격을 감행한 바 있다.

매튜 하 민주주의수호재단 연구원은 1일 VOA에 이번 해킹이 탈북민과 인권단체 관련자들을 표적으로 삼은 점을 들며 북한과의 연관성을 제기했다.

또 금성121 해커들이 활동한 IP 주소와 접속 지점 등이 북한 사이버 조지들과 유사하다는 점도 핵심적인 증거로 꼽았다.@