미국의 한 대학 이메일 프로그램에 '피싱(Phishing)' 해킹 공격을 신고하는 버튼이 마련돼있다. (자료사진)
미국의 한 대학 이메일 프로그램에 '피싱(Phishing)' 해킹 공격을 신고하는 버튼이 마련돼있다. (자료사진)

미국 정부 기관과 북한 관련 활동을 하는 외국인을 대상으로 악성코드가 담긴 가짜 이메일 해킹 공격이 발생한 정황이 포착됐습니다. 이메일은 북한과 관련된 제목으로 위장했는데, 북한 해킹 조직이 연관된 것으로 추정됩니다. 조상진 기자가 보도합니다.

미국의 어플리케이션 기반 컴퓨터 보안 전문기업 ‘팔로알토 네트웍스’는 24일 발표한 보고서에서, 북한 관련 업무를 담당하는 미국 정부 기관 1곳과 현재 북한 관련 활동을 하고 있는 외국인 활동가 2명에게 악성코드가 담긴 가짜 이메일 해킹 공격이 발생했다고 밝혔습니다.

4개의 서로 다른 러시아 이메일 주소에서 발송된 이메일은 10개 대상에게 보내졌는데, 여기에 미국 정부와 북한 관련 활동가들이 포함된 것입니다.

해킹 공격이 북한 문제를 다루는 정부 기관과 북한에 관심이 있거나 연계된 개인을 목표로 삼고 북한을 주제로 이메일을 위장한 점, 과거 북한 해킹 조직이 사용한 악성코드 파일이 발견된 점 등으로 볼 때 북한 해킹 조직과 상당한 연관성이 있는 것으로 평가하고 있다고 밝혔습니다.

보고서에 따르면, 가짜 이메일 공격은 특정인과 단체를 대상으로 기밀이나 금융 정보를 탈취하기 위한 ‘스피어 피싱(Spear phishing)’ 방식으로 진행됐습니다.

이메일은 ‘북한의 투자 환경(The investment climate of North Korea)’, ‘한반도 상황과 미-북 대화 전망(On the situation on the Korean Peninsula and the prospects for dialogue between the USA and the DPRK)’ 이라는 제목으로 발송됐으며, 북한의 지정학적 관계와 투자 환경 등의 내용으로 위장돼 악성코드가 담긴 링크로 연결을 유도했습니다.

보고서는 이 공격이 지난해 7월부터 10월 사이 발생했으며, 문서에는 ‘캐럿볼’이라는 신종 악성코드가 내장돼 있었다고 밝혔습니다.

‘팔로알토 네트웍스’는 캐럿볼 악성코드가 지금껏 한번도 알려진 적이 없는 새로운 악성코드로, 서버 통신과 컴퓨터 명령 제어 시스템을 통제할 수 있다고 설명했습니다.

이를 통해 해킹된 컴퓨터의 활동 내역과 저장 정보, 이메일 기록까지 모두 빼낼 수 있다는 것입니다.

그러면서 악성코드 중 일부에 ‘캐럿배트 드로퍼’라는 파일이 포함돼 있는 것을 확인했다며, 북한 해킹조직과의 연관성을 제기했습니다.

‘캐럿배트 드로퍼’는 지난 2018년 영국 정부 기관들을 대상으로 가짜 이메일 해킹 공격, ‘스피어 피싱’ 공격이 펼쳐졌을 당시 그 배후로 지목된 북한 연관 추정 해킹 조직 ‘콘니(KONNI)’가 사용한 악성코드로 알려져 있습니다.

VOA 뉴스 조상진 입니다.