연결 가능 링크

북한 연계 해킹조직, ‘한국 연구 분야’ 겨냥 사이버 공격

북한 사이버 해킹
북한 사이버 해킹

북한 정부의 지원을 받는 것으로 알려진 해킹조직이 한국의 연구·정책 분야 종사자들을 겨냥한 사이버 공격을 벌인 정황이 포착됐습니다. 실제 행사 자료집을 악성코드와 함께 배포해 이용자가 감염 사실을 눈치채지 못하도록 한 것으로 분석됐습니다. 함지하 기자가 보도합니다.

북한 연계 해킹조직 APT37 (스카크루프트·리퍼)이 최근 한국의 북한 관련 연구·정책 분야 종사자들을 겨냥한 사이버 공격을 벌였을 가능성이 매우 높다는 분석이 나왔습니다.

한국의 사이버 보안업체 지니언스 시큐리티 센터는 13일 공개한 위협분석 보고서에서 ‘오퍼레이션 캡슐 볼트’로 명명한 사이버 공격에 대한 분석 결과를 공개했습니다.

보고서에 따르면 공격자는 지난달 서울에서 열린 ‘왜 지금 원산갈마 관광인가?’라는 제목의 실제 학술행사를 공격에 활용했습니다.

행사가 열린 지 열흘 뒤 통일 관련 업체를 사칭해 연구·정책·학술 분야 종사자들에게 행사 자료집을 보내는 것처럼 꾸민 이메일을 발송한 것입니다.

이메일에는 행사 자료집을 내려받을 수 있는 것처럼 보이는 링크가 포함됐지만, 이용자가 해당 링크를 통해 파일을 내려받아 실행하면 악성코드가 컴퓨터에 설치되는 방식이었습니다.

보고서는 "정상 문서 열람 행위와 악성 행위를 동시에 수행하는 미끼 문서 기법을 사용해 사용자가 감염 사실을 인지하기 어렵도록 설계됐다"고 설명했습니다.

해당 악성코드는 ‘록랫(RokRAT)’ 계열로, 감염된 컴퓨터의 정보를 수집하고 화면을 캡처하거나 문서 파일 등을 외부로 빼낼 수 있는 것으로 분석됐습니다.

보고서는 기존 록랫 악성코드와의 높은 코드 유사성과 클라우드 서비스 등을 이용한 통신 방식, 과거 공격에서 사용된 것과 동일한 계정이 확인된 점 등을 근거로 이번 공격을 APT37이 수행했을 가능성이 매우 높다고 평가했습니다.

APT37은 북한 정부의 지원을 받는 사이버 첩보조직으로 분류됩니다.

사이버 보안 기관들은 APT37이 적어도 2012년부터 활동해 왔으며, 주로 한국 내 정부와 군 관련 기관, 탈북민 등을 표적으로 삼아 공격해 온 것으로 분석했습니다.

VOA 뉴스 함지하입니다.

Forum

XS
SM
MD
LG