이미지 확대보기
미국의 국무부와 연방수사국(FBI), 국가안보국(NSA)이 북한 해커조직의 지능화된 사이버 공격을 주의하라는 내용의 권고문을 발표했다. 이들은 이메일 보안 약점을 파악, 구글이나 하버드대학 등의 메일 주소를 사칭해 '이메일 피싱'을 시도해왔다.
3개 기관은 미국 시각 2일 '북한 공격자들의 DMARC 정책을 악용한 스피어피싱에 주의'라는 제목으로 공동 입장문을 내놓았다. 해당 입장문에는 북한의 해커 조직 '김수키(Kimsuky)'가 2023년부터 최근까지 시도해온 공격 사례와 그 방식에 대한 분석이 포함됐다.
DMARC란 '도메인 기반 메시지 인증·보고·규정 준수(Domain-based Message Authentication, Reporting and Conformance)'의 준말이다. 현재 세계적으로 가장 보편적으로 쓰이는 이메일 도메인 보안 수단이다.
김수키는 이러한 DMARC 인증의 취약점을 파악, 세계적으로 저명한 도메인들을 사칭에 활용했다. 대표적으로 구글(@google.com)과 하버드 대학(@harvard.edu)의 주소를 이용해 가짜 설문 조사, 행사 개최 이메일을 살포했다. 이를 통해 답변과 정보를 수집하거나 악성 코드가 포함된 첨부파일을 전송한 것이다.
3개 기관은 "북한은 세계 각국의 외교 전략과 경제 정책은 물론 학계의 연구 동향, 기업 간 통신과 주요 기업인의 사문서에 이르기까지 광범위하게 정보를 수집한 것으로 보인다"며 "단순히 도메인을 사칭하는 것을 넘어 언론인과 학자, 동아시아 문제 전문가 등 개인을 위장한 사례도 있어 주의를 요한다"고 밝혔다.
이미지 확대보기
김수키는 2023년 6월 한국 정부에서도 대북제재 명단에 별도로 등록된 악명 높은 조직이다. 이들은 한국수력원자력과 한국항공우주산업 등 공공기관에 해킹을 자행해왔다.
국내 기자를 상대로 한 공격 사례도 있었다. SBS는 최근 "소속 기자에게 '국회입법조사처 조사관' 명의로 간담회 참가 요구 이메일이 전달됐다"며 "수상한 점이 있어 보안업체에 의뢰했더니 첨부파일 에 '김수키'의 코드가 포함된 것을 확인했다"고 보도했다.
이어 "이들의 공격 방식이 기업, 비정부조직(NGO), 싱크탱크에만 국한되지 않고 개개인에게까지 퍼져나가고 있음이 분명해졌다"며 "개개인이 이메일을 세심하게 살피고 DMARC 등 보안 분야를 관리해 위험에 대비해야 한다"고 권고했다.
이원용 글로벌이코노믹 기자 wony92kr@naver.com
