북한 정권이 배후에 있는 해커 그룹이 지난해 한국 정부의 문서에 대한 해킹 공격을 이어간 것으로 나타났습니다. 북한은 기존에 이용하던 멀웨어 프로그램을 기반으로 새로운 기술을 적용했습니다. 김영교 기자가 보도합니다.
2012년 활동을 시작해 한국 정부와 국방 시설 등에 공격을 집중했던 북한 해킹 단체 ‘APT 37’이 지난해에도 한국 정부의 문서, 특히 한국에서 주로 사용되는 한글 워드 hwp 문서를 집중 공격했다고, 미국의 사이버 보안업체 ‘멀웨어바이츠’가 밝혔습니다.
APT37은 hwp 문서를 공격하는데 이용해 왔던 '록랫(ROKRAT)'을 지난해에도 계속 이용해 온 것으로 드러났습니다.
록랫은 한글과컴퓨터사의 한글 워드프로그램과 그 파일 포맷인 hwp 를 공격하는 코드로, 2017년 처음 발견됐습니다.
이번에 발견된 해킹 공격은 공격 대상인 컴퓨터 디스크에 기록을 남기지 않을 수 있는 VBA 매크로 기술을 이용했으며, 북한 해킹 그룹이 이 기술을 이용한 것은 처음으로 판단된다고, 멀웨어바이츠는 설명했습니다.
이어 록랫은 이 VBA 기술을 통해 컴퓨터 상에 있는 여러 보안 장치에 걸리지 않고 통과해 그 안에 있는 자료를 훔치거나 복사하고, 문서 위치를 바꿔놓는 것이 더 쉽게 가능하다고 말했습니다.
멀웨어바이츠는 북한이 적어도 지난해 1월부터 이런 기술을 써 온 것으로 보인다고 덧붙였습니다.
북한은 2016년부터 hwp 파일에 기반한 한국 정부 문서의 해킹을 진행해 왔습니다.
앞서 북한의 해킹 그룹이 hwp 파일을 첨부한 악성 메일을 한국의 외교, 안보, 국방, 통일 분야 종사자 등에게 보낸 사례도 발각된 바 있습니다.
북한의 해커가 발송한 이메일에 첨부된 hwp 파일을 열람하면 악성코드에 감염돼, 명령제어 서버를 통해 정보를 유출당하는 방식입니다.
한편 지난해 말 신종 코로나바이러스 감염증 백신 개발이 한창인 가운데, 북한은 미국 내 백신과 치료제 개발 제약회사들을 대상으로 사이버 공격을 감행했다고 미국 최대 소프트웨어 업체 ‘마이크로소프트’사가 밝힌 바 있습니다.
조사 결과, 북한은 세계보건기구 WHO 등을 사칭해 이메일 등을 보내 연구원들의 정보를 빼내려 한 것으로 드러났습니다.
VOA 뉴스 김영교입니다.
