신분위장 북한 IT인력 (PG).(사진=연합뉴스)
북한 정찰총국 산하 해커조직 김수키는 지난 3월부터 4월까지 페이스북, 이메일, 텔레그램을 활용해 국내 이용자를 대상으로 지능형지속위협(APT) 공격을 시도했다.
사이버 보안 기업 지니언스 시큐리티 센터는 11일 자사 블로그를 통해 김수키가 페이스북 계정 2개로 정찰 및 공격 대상을 탐색했다고 밝혔다.
김수키는 ‘트랜지셔널 저스티스 미션’(Transitional Justice Mission)이라는 페이스북 계정을 통해 교회 전도사나 연구원 목사로 위장하며 국내 대북 분야 종사자 다수에게 메신저 대화를 시도했다.
이들은 북한 선교 활동 지원을 명목으로 ‘북한 선교의 현황’과 같은 악성파일을 전송했다. 또 다른 계정은 공군사관학교 출신을 사칭한 한국인 남성 프로필 사진을 사용해 탈북민 봉사활동을 언급하며 대상자를 현혹한 뒤 악성파일을 전달했다.
지니언스 시큐리티 센터는 “대화 메시지에 축약식 표현과 오탈자가 관찰되며, 대화형 인공지능(AI) 서비스나 온라인 번역기를 사용하지 않은 것으로 보인다”고 분석했다.
공격자는 페이스북 메신저로 파악한 대상자의 이메일 주소를 통해 추가 접근을 시도했으며, 스마트폰 번호를 알 경우 텔레그램으로 탈북민 봉사활동을 주제로 메시지를 보내 악성파일 실행을 유도했다.
이번 공격은 일대일 메신저 대화로 은밀히 진행돼 탐지가 어려운 특징을 보인다.
지니언스 시큐리티 센터는 “메신저를 통한 일대일 대화 방식은 매우 은밀해 각별한 주의가 필요하다”며 “갑작스럽게 전달받은 인터넷 URL 주소나 파일에는 위협 요소가 포함될 가능성을 항상 염두에 두고 의심하는 보안 습관이 중요하다”고 당부했다.
김수키의 공격은 북한 정찰총국의 정보 수집 전략 일환으로, 한반도 안보와 관련된 민감한 정보를 노린 것으로 풀이된다.