경찰·국방 공무원·대북 전문가 등 사칭
지니언스 "타깃이 관심 보일만 한 정보로 접근"
北, 최근 정보 조직 개편 단행…사이버 강화
국제 정세 불안 속 사이버 안보 위협 고조
지니언스 "타깃이 관심 보일만 한 정보로 접근"
北, 최근 정보 조직 개편 단행…사이버 강화
국제 정세 불안 속 사이버 안보 위협 고조
|
![[그림 3-1] 스피어피싱 사례별 화면들](https://img.asiatoday.co.kr/file/2026y/05m/15d/2026051401000717000039351.jpg)
#"A 경찰청 수사관입니다. 해킹 사건을 수사하는 과정에서 특정 서버를 확인한 결과 피해자의 이메일 주소도 확인됐습니다."
북한 정찰정보총국 산하 해킹 조직이 경찰 수사관과 대북 전문가 등을 사칭해 국내 인사들에 접근해 온 사실이 드러났다. 해커들은 신뢰도를 높이기 위해 공개된 정보는 물론 다른 해킹으로 입수한 개인 신상을 활용해 타깃의 경계심을 허물려고 했다. 해킹 시도는 북한의 정보조직 개편과 맞물려 이뤄진 것으로 확인됐다. 특히 중동 전쟁이 한창이던 지난달까지도 해킹 시도가 반복되는 등 불안한 국제 정세를 적극 활용하려는 움직임이 포착됐다.
14일 정보 보안 기업 '지니언스'는 "북한 해킹그룹 APT37이 연관된 것으로 의심되는 사이버 공격을 포착했다"고 밝혔다. APT37은 북한 정보기관과 연계된 해킹 조직이다. 주로 대북 분야 인사를 대상으로 한 사이버 스파이 활동이나 경제적 이익을 노린 해킹을 벌여왔다.
이번 해킹은 국방·안보·대북 분야 종사자를 표적으로 한 '스피어 피싱'으로 분류된다. 스피어 피싱은 작살(spear)로 물고기를 잡는 것처럼 불특정 다수가 아닌 특정인을 타깃으로 하는 해킹 방식이다. 타깃의 관심사와 업무 특성 등 구체적인 정보 수집이 필수적이다.
해커들은 타깃의 경계심을 허물기 위해 경찰과 국방 공무원 사칭을 비롯해 전자 항공권 위조, 북한 관련 연구회 초대 등 표적들의 호기심을 유발할 만한 다양한 방식을 사용했다. 먼저 실제 개인 신상과 소속 기관 정보를 활용해 사회적 신뢰도를 높인 후 "전역을 앞두고 있는 국방 공무원이다. 같은 길을 걸으며 의미 있는 일을 해보고 싶다"며 정서적 공감대를 형성하는 식이다.
해킹 시도는 지난달까지 계속됐다. 지니언스에 따르면, 악성 파일의 마지막 저장 시점은 지난달 17일 오전으로 나타났다. 해당 문서는 '레일리(Lailey)'라는 계정으로 확인됐는데, 이는 2022년 민주평화통일자문회의(민주평통) 사무처와 서울 유엔 인권 사무소를 사칭한 해킹 공격에 사용된 계정과 동일하다.
이처럼 북한의 사이버 공격은 점점 더 노골화되고 있다. 최근 연이어 이뤄진 북한의 정보기관 개칭 역시 이러한 흐름을 반영한 것으로 분석된다. 북한은 지난 3월 최대 정보기관인 국가보위성의 명칭을 '국가정보국'으로 변경했다. 지난해 9월에는 대남 공작 기구인 정찰총국을 '정찰정보총국'으로 확대 개편했다. 정찰정보총국은 APT37의 배후로 추정되는 조직이다. 두 조직의 명칭에 공통적으로 '정보'라는 표현이 포함된 것을 두고 대외 정보 획득 역량과 사이버 작전 기능을 강화하기 위한 조치라는 분석이 나온다. 지니언스는 "단순한 명칭 변경을 넘어 정보 수집과 분석, 활용 역량을 제도적으로 강조하려는 방향성과도 맞닿아 있는 것으로 볼 수 있다"고 밝혔다.
보안 업계는 해킹을 외화벌이에 이용하는 북한의 특성상 암호화폐를 소유한 일반인까지도 타깃이 될 수 있다고 경고했다. 국가정보원에 따르면, 지난 한 해 동안 북한이 우리 국민과 해외 가상자산 등을 해킹해 벌어들인 돈은 2조원을 뛰어넘는다. 역대 가장 큰 규모의 탈취 금액이다. 북한은 이 밖에도 방산과 IT분야 등 각종 산업기술 절취에 사이버 공격을 활용하고 있는 것으로 파악됐다.
