한미, 합동 보안권고문 발표…‘스피어피싱’ 수법 상세
“北관련 인터뷰 요청” 이메일에 zip 파일…언론·학계 주의보
 |
| 북한이 지난달 31일 북한 평안북도 철산군 동창리 새발사장에서 쏜 첫 군사정찰위성 '만리경 1호'를 실은 위성운반로켓 '천리마 1형'의 발사 장면을 1일 조선중앙통신이 공개했다. 이 로켓은 엔진 고장으로 서해에 추락했다. 북한 국가우주개발국은 발사 후 2시간 30여분 만에 실패를 공식 인정했다. [연합] |
[헤럴드경제=최은지 기자] 정부가 2일 북한 정찰총국 산하 해킹조직 ‘김수키’(Kimsuky)를 세계 최초로 대북 독자제재 대상으로 지정했다. 북한이 군사정찰위성 ‘만리경-1호’를 탑재한 발사체 ‘천리마-1형’을 쏘아 올린 지 이틀만의 대응이다. 또한 한미 정부는 ‘김수키’에 대한 합동 보안권고문을 발표하고, 치밀하게 계산된 ‘스피어피싱’ 수법을 상세하게 소개하며 주의를 당부했다.
외교부는 이날 외교·안보·국방 등 분야의 개인·기관으로부터 전방위 첩보를 수집해 북한의 위성 개발에 직·간접적인 관여를 해온 ‘김수키’를 대북 독자제재 대상으로 지정한다고 밝혔다. 윤석열 정부 출범 이후 여덟 번째 대북 독자제재 조치이자, 두 번째 사이버분야 제재다. 정부는 자체 식별한 ‘김수키’의 가상자산 지갑주소도 식별정보와 함께 등재했다.
‘김수키’는 유엔 안전보장이사회(안보리) 제재 대상인 정찰총국 산하 해킹조직으로 10여년동안 전 세계 정부, 정치·학계·언론계의 주요 인사를 대상으로 사이버 공격을 감행해 탈취한 외교 정책 등 정보를 북한 정권에 제공하는 역할을 해왔다.
외교부는 “외교·안보 현안 등 비밀 정보 및 첨단기술 정보절취 등 ‘김수키’가 최근까지 국내 기관·개인을 대상으로 사이버 공격을 감행해 온 만큼, 이번 제재 조치를 통해 ‘김수키’의 국내 활동을 위축시키는 효과를 거둘 수 있을 것으로 기대한다”고 밝혔다.
아울러 우리 국가정보원과 경찰청, 외교부 및 미국 연방수사국(FBI), 국무부, 국가안보국(NSA)은 북한 해킹조직 ‘김수키’에 대한 합동 보안권고문을 발표했다. 이번 권고문은 지난 2월 한미 정보당국이 발표한 ‘북한 랜섬웨어 관련 한미 합동 사이버안보 권고’에 이어 양국이 공동 발표하는 두 번째 권고문이다.
권고문은 ‘김수키’의 해킹 수법을 상세히 알리면서 이들의 활동에 경각심을 제고하고, 피해가 발생하지 않도록 의심 활동에 대한 주의와 사이버 보안 조치 강화를 권고하는 내용이 담겼다.
권고문에 따르면 ‘김수키’는 특정인을 속이기 위해 방대한 사전 자료를 수집하고 피해자를 속이기 위한 치밀한 수법을 활용해 왔다. 개인의 신뢰와 사회적 관계를 이용해 파고들어 피해자가 민감한 정보를 누설하도록 유도해 비밀 정보를 획득하는 ‘사회공학적 기법’을 사용해 왔다.
특히 ‘김수키’는 맞춤 제작된 이메일을 활용해 개인정보를 훔치는 스피어피싱 공격을 활용하고 있다. 주로 잘 알려진 언론사나 기자들을 사칭하는 것으로 알려졌다. 해커들은 업무자료나 동호회, 주소록 등 개인 신상자료를 활용해 정교하게 신분을 속여 ‘설득력 있는’ 스피어피싱 메일을 만든다. 첫 번째 스피어피싱 메일을 보내고, 2~3일 이후에 후속 메일을 보내 끈질기게 접근하는 특징이 있다.
예를 들어 실제 유명 언론사 소속 기자를 사칭해 “북한이 일본 열도 상공을 통과하는 미사일을 발사한 상황에 대해 몇가지 질문을 드리고 싶다”는 메일을 보낸 후, 피해자가 인터뷰에 응하기로 하면 악성 프로그램이 들어있는 파일을 포함해 두 번째 이메일을 보내는 방식이다.
이외에도 싱크탱크 연구원들을 대상으로 설문조사를 가장하고, ‘윤정부 통일정책 제언’을 주제로 하는 국회의원실 세미나를 안내하며 참석회신을 요구하기도 했다. 정교한 공격 수법을 사용해 식별하기 어렵기 때문에 각별한 주의가 요구된다.
이번 권고문에는 ‘김수키’의 구체적인 활동 수법과 함께 위험 지표, 위협 완화 조치 등이 상세히 기술했다. 권고문은 출처가 확인되지 않은 이메일 등에 대한 주의 강화와 강력한 암호 설정, 다단계 인증 등 계정 보호 조치를 안내했다. 시스템 관리자들에 대해서는 서비스, 네트워크, 서버 등에 대한 보안 강화 조치를 당부했다.
외교부는 “지난달 23일 북한 IT 인력에 대한 한미 공동 독자제재 이후 10일 만에 이뤄진 조치”라며 “북한의 불법 사이버활동에 대한 한미 양국 정부의 단호하고 지속적인 대응 의지를 보여주는 것”이라고 밝혔다
