2024-03-19 20:20 (화)
[단독] 북한 추정 해커 서버에 쌓여가는 남한 인사들의 스마트폰 정보들
상태바
[단독] 북한 추정 해커 서버에 쌓여가는 남한 인사들의 스마트폰 정보들
  • 길민권 기자
  • 승인 2020.02.12 14:36
이 기사를 공유합니다

문종현 이사 “한수원 해킹부터 최근까지 동일조직의 공격 지금도 계속…”
“최근 남한 각계각층 스마트폰 해킹해 대화내용들 서버에 저장…직접 확인”
문종현 이사. K-CTI 2020에서 북한 추정 해킹조직의 공격 사례에 대해 강연을 진행하고 있다.
문종현 이사. K-CTI 2020에서 북한 추정 해킹조직의 공격 사례에 대해 강연을 진행하고 있다.

“2014년 북한 해킹조직(김수키)의 소행으로 공식 발표된 한수원 해킹사건. 그들은 이후에도 여전히 한국의 정부부처와 기업, 북한관련 기관, 언론사 등 다양한 분야의 관련자 해킹을 위해 지속적으로 공격을 시도해 오고 있다. 주로 스피어피싱 공격으로 PC에 악성코드 감염을 시도하고 특정인의 스마트폰 정보를 빼내고 도청하기 위해 고도화된 방법으로 공격 전술을 펼치고 있다. 지금 이 순간에도 우리는 총성 없는 사이버전쟁을 치르고 있다. 정치적 이슈로만 치부할 것이 아니라 경각심을 가지고 대응해야 한다.”

국내 최대 사이버 위협 인텔리전스 컨퍼런스 K-CTI 2020에서 문종현 이스트시큐리티 이사는 ‘북한 후원 해킹조직의 사이버 위협 사례’를 발표하며 이 같이 강조했다.

국내 대표적인 북한발 사이버위협 인텔리전스 전문가로 알려진 문종현 이사는 “2014년 한국수력원자력 해킹공격 당시 한글문서 취약점이 사용됐다. 이후 2018년 5월부터 2019년 4월까지 한수원 공격에 사용된 악성코드 계열이 지속적으로 사용됐다. 즉 동일한 조직의 공격임을 알 수 있다”며 “북미정상회담, 탈북자 관련 등 대부분 정치적 내용으로 위장한 스피어피싱 공격으로 진행됐다”고 설명했다.

이날 그는 공격자가 사용한 서버에 대해 정보를 공유했다. 북한 해킹 조직으로 추정되는 공격그룹은 국내 유명 리조트 서버, 국내 대형 포털사가 운영하는 호스팅 서버 등 7개 주요 서버를 점령했고 공격 그룹은 지금도 해당 서버들을 해킹에 활용하고 있다고 전해 충격을 주고 있다.

이어 2018년부터 2019년말까지 그들이 사용한 악성문서 파일을 분석한 결과 한수원 공격 쉘코드와 100% 일치하고 악성문서 내부에서 사용하는 표현들도 분석한 결과 한국어를 유창하게 구사하고 남한에서 사용하지 않는 북한식 표현들을 지속적으로 발견할 수 있다고 전했다.

또 공격자들은 스피어피싱 공격을 성공시키기 위해 메일 주소에서 URL 스펠링 하나를 교묘히 바꿔 메일 필터 시스템을 우회하고 악성문서가 포함된 메일을 관련기관 혹은 지인 이름으로 발송해 신뢰를 기반으로 클릭을 유도하고 있다고 설명했다.

문 이사는 “한수원 공격부터 지금까지 수많은 공격들의 쉘코드, 이용 서버 등등 많은 공격증거들을 분석해 전체 그림을 그려보면 같은 해킹 조직의 공격이란 것을 알 수 있다”며 “최근에는 한글문서 취약점이 잘 나오지 않자 PDF나 DOC 문서로도 공격을 하고 있다. 같은 조직내 다른 조직원의 공격이다. 한국 정부나 기업 등 타깃들이 관심을 가질만한 내용으로 메일을 열어볼 만한 시간대에 절묘한 타이밍에 스피어피싱 공격을 시도하고 있다. 하지만 공격에 사용되고 있는 서버를 관련 기관에서 조사를 하긴 하지만 지속적인 해킹 시도에 대응이 힘든 상황이다”라고 우려했다.

문종현 이스트시큐리티 이사의 K-CTI 2020 강연 현장.
문종현 이스트시큐리티 이사의 K-CTI 2020 강연 현장.

한편 스마트폰 기반 공격 사례도 소개해 눈길을 끌었다. 통일, 외교, 안보 관련 내용을 주로 보도하는 모 기자의 스마트폰을 북한 해커가 해킹하려고 한 사례를 상세히 소개했다. 문 이사는 해킹 시도 당시 해당 기자와 정보를 공유하며 실시간 대응에 나섰고 결국 북한 해커로 추정되는 자의 스마트폰 서버정보를 역으로 분석해 확인한 일부 정보를 이번 K-CTI 2020에서 최초 공개한 것이다.

전체 내용을 요약해 보면, 북한 해커로 추정되는 자가 모 기자의 카카오톡으로 채팅을 걸어왔다. 북한의 내부 정보를 줄 테니 기사를 써 보라는 제안이었다. 기자는 문종현 이사에게 도움을 요청했고 해커가 보내준 악성 링크를 분석하며 대화를 계속해 나갔다.

결국 해커가 사용하는 서버를 분석할 수 있게 됐고 자신들이 타깃으로 한 남한 관계자들의 다양한 정보들을 그들이 수집하고 있다는 것을 직접 확인했다. 특히 북한 방송으로 추정되는 공격자 스마트폰 녹음 내용까지 최초 공개해 눈길을 끌었다. 공격자는 심 카드 없는 삼성 갤럭시 스마트폰을 사용하고 있었다.

문 이사는 “공격자들은 SNS와 메신저 등을 통해 타깃에 접근해 해킹 프로그램을 설치하게 유도하고 결국 타깃의 스마트폰을 장악해 버린다. 공격자 서버를 확인 한 결과 실제로 많은 데이터들이 수집되고 있다는 것을 확인했다. 수집된 정보에는 보좌관, 탈북자, 변호사 등등의 카카오톡 대화내용, 문자메시지, 통화내용 등이 저장되고 있었다”며 “공격자들은 눈에 보이지 않는다. 지능적으로 우리의 눈과 귀를 속이며 침투해 정보를 빼내가고 있다. 지금 이 순간에도 그들의 해킹 시도는 계속되고 있고 실제로 해킹을 당하고 있다. 정부와 기업, 개인 등의 민감한 정보들이 유출되고 있다. 경각심을 가지고 각별한 주의와 대응체계를 갖춰야 한다”고 강조했다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★