북한 해킹그룹이 12·3 비상계엄, 10·29 이태원 참사 등 대형 이슈 때마다 관련 키워드를 활용한 공격을 벌이고 있는 것으로 보인다. '일상'적으로 대남 해킹 공격을 일삼다가 사람들이 관심을 가질만한 이슈가 발생하면 해당 키워드를 고리로 공격을 퍼붓는 것이다.
과학기술정보통신부와 한국인터넷진흥원(KISA)은 최근 비상계엄 이슈를 악용한 사이버 공격에 대한 주의를 권고했다. '방첩사가 작성한 계엄문건 공개'라는 제목의 메일을 열면 악성 프로그램 설치 또는 유해 사이트 접속으로 인해 개인정보나 기업·기관 업무정보 등 민감정보가 탈취되거나 연쇄적으로 사이버 침해사고가 확대돼 피해가 더 커질 수 있어 각별한 주의가 필요하다고 당부했다.
정보보호업계는 이번 해킹메일 공격 배후에 북한 해킹조직이 있을 것으로 추정한다. 북한 대외 매체인 조선중앙통신과 노동신문 등이 지난 11일 비상계엄 선포·해제와 이에 따른 한국의 탄핵 정국에 대해 보도한 뒤 대량의 해킹 메일을 배포한 것으로 보고 있다.
한 사이버 보안 전문가는 “이번 해킹메일 공격은 북한 인권 활동가나 북한·통일 연구원이 타깃이 됐다”면서 “북한 해킹조직의 소행일 가능성에 무게를 두고 있다”고 말했다.
그러면서 그는 “북한 언론이 공식적으로 한국의 계엄 사태를 알린 뒤 대대적으로 해킹메일이 뿌려졌다”면서 “이번에 배포된 악성파일이 최근 북한의 공격 스타일이나 수법과는 차이가 있고 중국 해킹조직의 스타일에 가깝지만, 의도적으로 숨기려 했거나 공격주체를 헷갈리게 한 것으로 보인다”고 덧붙였다.
북한 해킹조직은 일평균 120여만건의 대남 사이버 공격을 벌이다가 전국을 강타하는 대형 이슈가 터지면 이를 악용한 공격을 단행한다. 지난 2022년 11월 이태원 참사 때에도 사고와 관련한 해킹메일과 피싱·스미싱 등 공격한 바 있다.
해킹 피해를 예방하기 위해선 이메일 내 클릭을 유도하는 링크는 일단 의심하고 연결된 사이트 주소가 정상 사이트인지를 반드시 확인해야 한다. 또 휴대전화 문자 메시지에 출처를 알 수 없는 사이트 링크가 포함됐을 경우 클릭을 자제하고 바로 삭제할 필요가 있다.
사이버 위협 인텔리전스(CTI) 기업 임원은 “북한 해킹조직의 공격 행태를 보면 사회적 이슈를 주제로 한 해킹 메일을 보내 공격 성공률을 높인다”면서 “사회·정치 관련 해킹메일은 정부기관과 연구소, 자문교수에게, 암호화폐(코인)와 같은 경제 관련 메일은 불특정 다수에게 뿌린다”고 말했다.
조재학 기자 2jh@etnews.com
-
조재학 기자기사 더보기