청와대 국가안보실 사칭 이메일 외에 통일부 등 정부를 사칭한 사이버 공격이 계속 된 것으로 드러났다. 지난달 국가정보원은 '남북정상회담 사칭 해킹메일 유포'를 주의하라는 공문을 관계기관에 보냈다. 2차례 정상회담 남북화해 분위기 속에서도 북한발 사이버 공격이 지속된 정황이다.
28일 보안업계에 따르면 지난달 국가정보원은 국가·공공기관에서 운영 중인 각종 자문위원회 민간위원을 대상으로 스피어피싱에 주의하라는 공문을 보냈다. 스피어피싱은 불특정 다수 정보를 탈취하는 '피싱(phishing)'과 달리 특정인 정보를 캐내는 사이버 공격이다.
공격자는 통일부를 사칭해 자문위원회 민간위원을 대상으로 '남북정상회담 참고자료입니다'라는 메일을 뿌렸다. 메일에 내부 피싱 페이지 링크나 악성파일(HWP. PDF)을 첨부했다.
최근 논란이 된 청와대 국가안보실 사칭 이메일 외에 다른 공격시도도 발견됐다. 공격자는 '10.12 국가안보실 정책자문위원회 전체회의 계획'이라는 한글(.HWP)문서를 관련자에게 전송했다. 메일 내용에는 '평양공동선언평가 및 향후 추진계획' 등 행사 내용을 담았다. 국가 안보실 정책자문위원회 등에 참가자 이름, 소속 등을 언급 하는 등 행사 진행 순서까지 구체적으로 담았다. 발신자나 피해자 등은 확인되지 않았다.
공격자는 메일 수신자가 문서 열람 시 해킹된 특정 사이트로 연결을 시도한다. 추가 악성코드(원격조정, 백도어 등)를 다운로드 하는 방식을 활용했다. 한글파일 포스트스크립트 코드 실행 기능을 이용해 악성 첨부파일 해킹 공격을 감행했다. 한글 소프트웨어(SW) 최신 업데이트가 적용되지 않거나 불법복제 버전 사용자는 공격 노출 가능성이 크다.
해당 공격을 포착한 보안업계 A관계자는 “해당 공격은 10월 중에 제작된 것으로 발신자나, 실제 공격이 성공했는지 여부는 확인할 수 없다”면서도 “공격 코드 분석 결과 과거 특정 기관 공격에 사용한 북한 추정 공격 코드와 유사하다”고 말했다.
전문가는 사이버 공간을 통한 정보수집, 해킹 활동 등이 계속되는 만큼 이에 대한 대책마련이 필요하다고 지적했다.
임종인 고려대정보보호대학원 교수는 “북한이 가진 비대칭 전력은 핵과 사이버전력이기 때문에 핵을 포기하는 상황에서 쉽게 사이버 전력에 관해 협력 나서기는 부담스러울 것”이라면서 “정부는 사이버 안보에 대한 중요성을 인식하고 물밑에서라도 관련 협상을 이어가야 한다”고 덧붙였다.
정영일기자 jung01@etnews.com