▲ 데일리NK가 3일 입수한 악성코드가 담긴 한글 파일. 보안업체 전문가에 따르면 이 한글 파일은 이날 오전 11시 13분에 만들어졌고, (1)일단 감염되면 북한 해커의 지령을 받는 특정 서버에 연결돼 감염 사실을 통보하고 (2)이를 인지한 해커가 각 감염된 PC들에 추가 파일을 개별적으로 송부 (3)이후 보내진 파일에 따라 특별한 동작을 하도록 설계됐다. /사진=데일리nk
[데일리 엔케이 ㅣ 김성환 기자] 국정농단 의혹을 받는 최순실 씨 사건과 관련 국가적 혼란이 일고 있는 가운데, 북한 해커가 관련 악성코드가 담긴 피싱메일을 유포해 해킹공격을 시도하고 있는 것으로 확인됐다.
데일리NK가 3일 이메일에 첨부된 ‘우려되는 대한민국’이란 제목의 한글파일을 분석한 결과, 북한은 ‘최순실’ 이슈를 새로운 해킹공격을 위한 소재로 삼았다. 국내의 한 북한관련단체 대표 명의로 발신된 이메일엔 ‘최순실 국정농단, 대통령 하야’ 등이 거론되는 한글파일이 첨부돼 있었던 것.
이와 관련 이 단체의 관계자는 이날 데일리NK에 “해당 메일을 보낸 적이 없다”면서 “발신된 이메일 계정은 존재하지도 않는다”고 밝혔다.
해당 메일과 첨부 파일을 분석한 익명의 보안업체 전문가는 “이 피싱메일은 오늘(3일) 오전 11시 13분에 만들어진 최신 북한 악성코드”라면서 “절대 파일을 열어봐서는 안 된다”고 강조했다.
그는 이어 “북한 해커가 북한관련단체 대표의 다음 이메일 계정과 같은 아이디를 네이트(nate) 등에 생성한 것으로 보인다”면서 “북한 해커가 자주 쓰는 수법”이라고 덧붙였다.
분석 결과에 따르면, 이 피싱메일은 일단 감염되면 북한 해커의 지령을 받는 특정 서버에 연결돼 감염 사실을 통보하고, 이를 인지한 해커가 각 감염된 PC들에 추가 파일을 개별적으로 송부한 이후 보내진 파일에 따라 특별한 동작을 하도록 설계됐다.
▲ 악성코드는 ‘말대가리(MalDaeGaRi)라는 이름으로 설정됐다. /사진=데일리NK
특히 악성코드를 마지막으로 저장한 사람은 ‘말대가리(MalDaeGaRi)’라는 이름으로 설정했다. 이와 관련 군 출신의 사이버 보안전문가는 “최순실 씨의 딸인 정유라 씨와 관련된 것 같다”면서 “보통 북한 해커들은 해당 내용과 연관된 악성코드 이름을 사용한다”고 덧붙였다. 정유라 씨가 승마특기생으로 이화여대에 부정입학한 정황이 드러나고 있는 상황에서 북한 해커가 이를 반영한 것 아니냐는 지적이다.
이 전문가는 “이 메일이 전체 국민들 대상으로 광범위하게 보내진 것은 아닌 것 같다. 최근 북한 해커의 공격 패턴이라고 할 수 있는 북한인권단체, 탈북자 등에게 집중적으로 보내진 것으로 보인다”면서 “북한 해커가 중국을 경유해서 이번 공격을 시도했을 가능성이 높다”고 분석했다.
북한의 이번 공격은 지난 8월부터 본격적으로 시작된 ‘트위터’를 활용한 해킹 공격의 연장선상으로 보인다. 보안전문가들은 해킹에 사용된 공격 기법이 북한에서 개발된 것이고, 현재 대한민국을 대상으로 북한 해커들만이 사용하고 있는 기법이라고 소개하기도 했다.
안보전문가인 유동열 자유민주연구원 원장도 “북한이 사이버공간을 활용한 국내 정보수집이 진화된 해킹방식으로 더욱 정교화됐다. 국민적 관심사인 최순실 씨 사건을 이용해서 공격을 감행한 것”이라고 지적했다.
유 원장은 이어 “사이버공간을 통한 ‘게릴라 심리전’도 강화될 것으로 보인다”면서 “북한은 해외에 서버를 둔 웹사이트 160여개 망과 기 구축된 SNS(사회관계망)을 통해, 다방면의 사이버심리전을 전개하고 있다”고 우려했다.
아울러 그는 “북한 해커들에게 최순실 씨 사건은 좋은 기회”라면서 “북한은 지금 이 시간에도 대남 사이버심리전 공격을 가하고 있다. 특히 댓글부대 등도 활발히 움직이고 있는데, 이들이 정국을 더욱 더 혼란스럽게 만들기 위해 확인되지 않은 유언비어를 퍼뜨리고 있다”고 덧붙였다.
한편 데일리NK는 최근 북한 해킹 메일이 ▲내용은 없으면서 한글로 된 첨부파일이 있고 ▲첨부된 파일의 크기가 15~40KB이고, ▲ 공공기관 등을 사칭해 naver, daum, nate 주소로 발신된다는 특징을 지니고 있다고 전한 바 있다.
