연결 가능 링크

미 정부 “북한, 스피어 피싱으로 사이버 범죄…이메일 들춰보며 수사”


방글라데시 다카의 방글라데시 중앙은행 건물.

미국 정부는 최근 몇 년간 전 세계를 떠들썩하게 만든 사이버 범죄 상당수의 주범을 북한으로 지목하고 있습니다. 미 연방수사국(FBI)은 용의자들의 이메일과 소셜미디어 계정 등을 들여다 보는 방식으로 북한의 사이버 범죄 사실을 밝혀냈습니다. 함지하 기자가 보도합니다.

북한의 해킹은 특정 대상을 오랜 기간 감시하고, 이들에게 악성코드가 포함된 가짜 이메일을 보내는 ‘스피어 피싱(Spear phising)’ 방식으로 주로 진행돼 왔습니다.

미 사법당국은 북한이 이런 방식으로 ‘소니 영화사’와 일부 나라들의 금융기관, 워너크라이 등의 해킹 범죄를 감행하고, 미국의 대학과 연구원들, 에너지 회사, 가상화폐 교환소에 대한 공격을 시도했다고 지적하고 있습니다.

북한의 사이버 범죄에 중추적인 역할을 한 ‘조선엑스포 합작회사’ 소속 박진혁에 대한 미 법무부의 기소장에는 이러한 사례들이 자세하게 소개돼 있습니다.

북한의 수법이 가장 잘 나타난 사건은 지난 2016년 방글라데시 중앙은행에 대한 해킹입니다.

기소장에 따르면 북한 해커들은 2014년 방글라데시 중앙은행과 관련 은행들을 관찰하고 감시하기 시작합니다.

이후 4개의 지메일(gmail) 계정을 이용해 ‘라셀 알람’이라는 취업지망생을 사칭한 이메일을 방글라데시 은행 관계자들에게 수십 차례 보냈는데, 이 때마다 이력서로 연결되는 링크에는 ‘악성코드’가 심겨져 있었다는 게 기소장의 설명입니다.

이런 방식으로 은행 침투에 성공한 북한의 해커들은 1년 넘게 정보를 수집하는 등의 활동을 한 뒤 2016년 1월 방글라데시 중앙은행이 사용하는 국제은행간통신협회(SWIFT)의 핵심시스템에 접속했고, 8천100만 달러 탈취에 성공합니다.

법무부는 이후 분석을 통해 해커들의 접속지가 북한이라는 사실을 파악했습니다. 특히 이들이 이용한 이메일이 과거 다른 범죄에 연루된 계정과 관계가 있고 계정이 한국어로 구성돼 있는 점 등을 근거로 북한과의 연관성을 밝혀냈다고 확인했습니다.

북한 해커들이 사용한 이메일과 소셜미디어 계정. 미국 법무부가 북한 국적자 박진혁 기소장에 첨부한 도표다.
북한 해커들이 사용한 이메일과 소셜미디어 계정. 미국 법무부가 북한 국적자 박진혁 기소장에 첨부한 도표다.

아울러 기소장에는 박진혁 등 북한 해커들이 미국의 고고도미사일 방어체계(THAAD)의 주계약 방위산업체인 ‘록히드마틴’에 대한 공격을 시도할 때도 ‘스피어 피싱’ 방식을 이용했다고 지적했습니다.

특히 한국의 사드 배치 논란이 한창이던 지난 2016년 4월29일부터 5월20일 사이 미국의 지메일 계정 3개와 한국의 ‘다음’ 계정 1개를 이용해 스피어 피싱 메시지를 보낸 사실이 드러났습니다.

그 외에도 기소장에는 박진혁 등이 이런 방식의 이메일을 주한미군 관계자 등에게 보낸 사실이 명시됐으며, 미국과 한국의 군 관계자 등을 오랫동안 감시했다는 사실 또한 담겼습니다.

북한 해커들이 다른 나라 해커들의 도움을 종종 요청했다는 사실도 기소장에 명시돼 있습니다.

기소장에 따르면 북한 측 해커로 추정되는 한 인물은 ‘hwa5403’이라는 아이디를 이용해 해커들이 모이는 웹사이트에 자신이 심은 악성코드가 ‘스팸 이메일로 걸러지지 않는 방법’을 문의합니다.

그러면서 ‘캠벨데이빗793(cambelldavid793)’으로 시작하는 지메일 주소를 남겼는데, 수사진이 이메일을 들여다 본 결과 북한에서 접속된 흔적이 남아있었다고 지적했습니다.

아울러 해당 지메일의 복구 이메일용 주소가 ‘hwa5403’을 아이디로 사용하는 한국의 ‘다음’(hwa5403@daum.net)으로 기재돼 있었으며, 이 ‘다음’ 이메일 역시 북한의 여러 IP주소에서 접속했고, 일부 인터넷 도메인 공급자에 가입할 때도 사용됐다는 사실이 확인됐다고 덧붙였습니다.

문제의 ‘다음’ 이메일 주소는 북한이 사용하는 또 다른 이메일의 ‘복구용’ 주소로 자주 등장합니다.

한편 이번 기소장을 작성한 미 연방수사국(FBI) 특별수사관은 수사를 위해 수색영장을 100여 차례 집행했다고 밝혔습니다.

이어 1천 개의 이메일과 소셜미디어 계정들을 확인하고, 다른 나라에도 85차례 공문을 보내 협조를 요청하는 방식으로 수사를 진행했다고 덧붙였습니다.

북한 해커 중 사실상 유일하게 신원이 확인된 박진혁도 이런 과정에서 드러났다고 기소장은 설명하고 있습니다.

기소장에 따르면 박진혁이 소속된 ‘조선엑스포 합작회사’의 책임자는 2011년 1월 박진혁을 기존 프로그래머를 대체할 새로운 프로그래머로 소개하는 이메일을 외국의 한 회사 관계자에게 보냅니다.

이 때 박진혁의 사진이 첨부된 ‘이력서’가 첨부돼 신원이 확인된 겁니다.

여기에는 박진혁이 1984년 8월15일생으로 김책 공업대학을 졸업한 뒤 2002년부터 온라인 게임 개발자로 활동했다는 내용이 담겨 있습니다. 아울러 ‘비주얼C++’와 ‘자바’, ‘php’, ‘jsp’ 등 컴퓨터 프로그램이나 코딩에 능통하다는 사실도 소개됐습니다.

이런 가운데 수사진은 박진혁이 동료 등에게 보낸 이메일을 확보했으며, 이 중 일부를 공개하기도 했습니다.

이에 따르면 박진혁은 2011년 5월 중국 다이롄에 머물 당시 ‘지메일’ 계정을 이용하는 사람에게 이메일을 보내 그 해 9월 ‘동료’인 약혼녀와 결혼을 할 예정이며, 영구적으로 북한에 돌아가 살 방법을 찾고 있다고 말했습니다.

이후 실제로 같은 해 9월 동일한 인물에게 “다음주에 고향으로 돌아간다”는 내용의 이메일을 보냈습니다.

박진혁은 2012년과 2013년에도 ‘핫메일(Hotmail)’ 계정을 이용해 컴퓨터 프로그램과 관련된 고객들과 교신하는 내용 또한 수 차례 수사진에게 포착됐습니다.

▶ 미 FBI가 공개한 북한 국적자 박진혁의 한글 지명수배 전단

현재 박진혁은 FBI의 지명수배를 받고 있습니다. FBI는 영어는 물론 한글과 중국어로 번역된 수배 전단지까지 공개한 상태입니다.

그러나 박진혁은 2014년을 전후해 북한으로 되돌아간 것으로 알려져, 실제 미 당국에 체포될 가능성은 낮은 상황입니다.

VOA 뉴스 함지하입니다.

XS
SM
MD
LG