"북한 해커, '바이든 정책분석' 위장 사이버공격…코로나 백신회사도 해킹"

기사입력 : 2020년11월18일 09:00

최종수정 : 2020년11월18일 15:13

北 연구자·탈북민·기자 등 집중공격…'탈륨' 추정
MS "북한, 코로나19 백신개발 제약회사 7곳 해킹"

[서울=뉴스핌] 이영태 기자 = 북한 추정 해커들이 최근 미국 대선에서 승리한 조 바이든의 북한 정책 분석 문서로 위장한 파일로 사이버 공격을 감행한 것으로 알려졌다. 마이크로소프트는 북한 해킹그룹 '라자루스' 등 3곳이 한국·미국·프랑스·캐나다 등의 제약회사 7곳과 백신 개발 연구소에 해킹 공격을 감행했다고 지적했다.

17일 자유아시아방송(RFA)에 따르면 미국뿐 아니라 한국 내 방위 산업체를 포함해 북한 연구 분야 종사자와 탈북민, 북한 관련 취재기자를 집중적으로 공격하는 북한 해킹조직 '탈륨'의 소행으로 추정되는 사이버 공격이 포착됐다.

바이든 시대 북한 비핵화 내용 등으로 현혹하며 '콘텐츠 사용' 버튼 실행을 유도하는 악성 문서 화면(위)과 바이든 시대 북한 비핵화 내용 등으로 현혹하는 악성 문서 실행 화면(아래). 2020.11.18 [사진=이스트시큐리티/RFA 캡처]

'탈륨'은 지난해 12월 다국적 기업인 마이크로소프트(MS)가 미국 버지니아주 연방법원에 정식으로 고소장을 제출하며 국제사회에 알려진 해킹 조직으로 북한 정권과 관련돼 있는 것으로 추정된다.

한국 민간 보안업체인 이스트시큐리티는 이날 RFA에 지난 3일 미국 대선 결과에 따른 '바이든 시대 북한 비핵화 협상의 또 하나 암초 – 북한체제안전 보장 문제'란 제목의 워드문서를 통해 특정 관계자의 정보를 노린 '지능형지속위협'(APT) 방식의 사이버 공격이 포착됐다고 밝혔다.

업체에 따르면 새롭게 발견된 악성 파일은 MS 워드 문서(DOC) 형태로 유포되고 있으며, 전자우편에 문서 파일을 내려받기(download)할 수 있는 '인터넷 주소'(URL)를 기재해 수신자가 내려받아 악성감염을 유도하는 방식이다.

이 '인터넷 주소'는 마치 한국의 유명 인터넷 검색업체인 네이버(Naver)의 인터넷 주소와 유사하게 위조돼, 수신자가 공식 사이트로 생각하고 의심없이 위조 웹사이트를 통해 악성 문서를 내려 받도록 설계돼 있다. 전자우편 수신자가 위조 웹사이트에서 악성 문서 파일을 내려받아 실행하면, 문서 내용이 바로 보이지 않고 상단에 보안 경고창이 나타나며 '콘텐츠 사용' 버튼을 클릭하도록 유도한다.

이때 '콘텐츠 사용' 버튼을 클릭하면 정상적인 문서 내용이 나타나지만, 실제로는 내부에 숨겨진 악성코드 명령이 순식간에 작동해 컴퓨터의 정보를 해커가 지정한 서버로 전송하고, 추가 원격제어 등의 해킹 피해로 이어질 수 있는 상태가 된다.

업체는 '콘텐츠 사용' 버튼을 클릭하면 나타나는 문서에는 미국과 북한의 비핵화 협상 제안과 회담 내용 등을 담고 있어, 북한 관련 분야에서 활동하거나 관심을 가진 사람이 위협에 노출될 가능성이 높다고 지적했다. 그러면서 이처럼 악성 문서 파일 기반으로 공격한 점을 미뤄볼 때, 이번 공격은 전형적인 스피어 피싱 공격일 가능성이 높다고 지적했다.

이와 관련 미국 민주주의수호재단(FDD)의 사이버안보 전문가인 매튜 하 연구원은 이날 RFA에 '김수키'라는 이름으로도 알려진 '탈륨'의 사이버 공격이 2016년 이후 증가하고 있다고 말했다.

그는 사이버 공격이 2016년 이후 대북제재, 코로나19, 재택근무 증대, 식량안보 문제, 내부불안정 등으로 인해 북한이 새롭게 수익을 창출하는 방법으로 사이버 공격을 증가시키고 있다고 설명했다.

하 연구원은 "북한은 더 많은 불법적인 수입을 끌어내기 위해 사이버 공격을 집중하고 있다"며 "북한이 정보탈취와 돈벌이에 많은 노력을 쏟고 있는 유일한 불량 사이버 강국임은 두말할 나위도 없다"고 비판했다.

◆ 마이크로소프트 "북한, 코로나19 백신개발 제약회사 7곳 해킹"

미국 국무부는 같은 날 최근 북한이 신종 코로나바이러스 감염증(코로나19) 백신 개발 회사 등을 대상으로 해킹 공격을 감행했다는 MS의 지적과 북한의 잇따른 사이버 공격에 대한 RFA의 논평요청에 대한 답변 수위를 전보다 더 높였다.

국무부 대변인실 관계자는 "북한은 금융기관에 중대한 사이버 위협을 가하고 있으며, 여전히 사이버 첩보 활동은 위협으로 남아 있고, 파괴적인 사이버 활동을 수행할 수 있는 능력을 보유하고 있다"고 언급했다.

MS 톰 버트 부사장은 최근 자사 공식 블로그에 북한 해킹그룹 '라자루스' 등 3곳이 한국·미국·프랑스·캐나다 등의 제약회사 7곳과 백신 개발 연구소에 해킹 공격을 감행했다고 공개했다. 그는 "공격 대상은 대부분 코로나 백신 개발과 관련해 다양한 의료 시험 단계에 있는 제약회사들이었다"면서도 구체적인 공격 대상과 내용에 대해선 언급하지 않았다.

제이슨 바틀릿 신미국안보센터 연구원은 16일(현지시각) 미국의소리(VOA) 방송에 "북한이 이 회사들을 대상으로 해킹 공격에 나서는 이유는 스스로 백신 등을 개발할 수 있는 전문 기술이나 장비가 없기 때문에 기술적, 과학적으로 발전된 미국이나 한국 등을 대상으로 정보를 탈취하려 한다"고 분석했다.

앞서 국무부는 지난 6월 북한의 악의적인 사이버 활동은 미국과 전 세계 국가들을 위협하고 있기 때문에 다른 국가들과 협력하고 있다는 원론적인 입장만 밝힌 바 있다. 당시 국무부는 북한의 사이버 공격과 관련해 RFA에 "미국은 사이버 공간을 교란하고, 파괴적 또 그밖의 불안정을 야기하는 행동에 주의를 집중하고, 비난하기 위해서 동일한 생각을 가진 국가들과 긴밀히 협력하고 있다"고 했었다.

medialyt@newspim.com

사진

[변상문의 화랑담배] "일장기가 내려졌다" 변상문의 '화랑담배'는 6·25전쟁 이야기이다. 6·25전쟁 때 희생된 모든 분에게 감사드리고, 그 위대한 희생을 기리기 위해 제목을 '화랑담배'로 정했다. 미 합참으로부터 일반명령 제1호를 하달받은 맥아더 장군은 일본 오키나와에 주둔하고 있던 미 제10군 예하 미 제24군단장 하지(John R. Hodge) 중장에게 1945년 8월 29일 한국의 38도선 이남 지역에서 일본군 무장을 해제하라고 명령하였다. 1945년 8월 기준 무장해제 대상 한반도 주둔 일본군은 14개 사단 35만여 명이었다. 이 명령에 따라 하지 장군은 예하 미 제7사단, 미 제40사단, 미 제96사단 배치 계획을 수립하였다. 미 제7사단은 서울과 개성을 포함한 38도선 일대 및 경기도, 충청도 일원을 맡도록 했다. 미 제40사단은 강원 및 경상도를, 미 제96사단(나중에 미 제6사단으로 변경)은 전라도를 책임 지역으로 할당하였다. 제주도는 미 제25기지창이 맡았다. 38도선 이남에 진주한 전체 미군 병력은 약 7만7645명이었다. 하지만 오키나와에 상륙함정이 부족하여 미 제7사단을 우선 투입하였다. 1945년 12월 19일 대한민국 임시 정부 환국을 환영하는 국민 행렬. [사진= 국사편찬위원회] 맥아더 장군은 미 제24군단의 한국 진주에 앞서 포고령 제1호를 발표하였다. 이 포고령 제1호에는 북위 38도선 이남 지역에 미군이 진주하여 일본군 무장을 해제하고, 유엔에 가입할 자격을 갖춘 독립된 국가를 수립한다는 내용이 포함되어 있었다. 1945년 9월 8일 13:30 인천항. 미 제7사단 장병들이 상륙정에서 내리기 시작했다. 날씨는 맑았다. 바람은 따뜻했다. 부두 공간은 충분했다. 17:30 상륙을 마쳤다. 다음 날인 9월 9일 아침 철로를 이용하여 서울로 들어왔다. 1945년 9월 9일 일요일 서울 거리는 엄숙한 빛 속에 잠겨있었다. 높고 푸르게 개인 가을 하늘을 이고, 태극기, 성조기, 소련 기, 중화민국 국기 등이 나란히 휘날리고 있었다. 서울역에서 내린 미 제7사단 장병들은 대오를 갖추어 조선총독부를 향하여 행군하기 시작했다. 행군 대열 중간에는 하지 중장과 킨 케이드 제독, 그리고 영관급 이상 장교들이 지프차를 타고 있었다. 장병들의 얼굴은 승리자의 위엄보다는 예의와 신의를 존중하는 겸손한 빛이었다. 한눈을 팔거나 전투화 소리를 크게 내는 군인은 없었다. 서울역에서 조선총독부에 이르는 거리에는 사람들이 담을 쌓고 있었다. 대한국인으로서 체면과 위신을 거룩하게 표현하고 있었다. 미 제7사단 600여 명이 09:00경 조선총독부 광장에 천막을 쳤다. 이어서 16:00 일본군의 항복문서 서명식이 조선총독부 회의실에서 거행되었다. 연합국 측의 노엠 H 무어 중위가 개회사를 했다. 미군 장교 안내로 조선 총독 일본군 육군 대장 아베 노부유키, 쬬오쯔끼 조선주차군사령관, 야마구치 진해 해군경비사령관이 차례로 입장했다. 연합국 측 장교단 13명은 이미 착석한 상태였다. 곧이어 하지 중장과 킨케이드 제독이 수많은 내외 보도진의 플래시를 받으며 미 헌병 호위 속에 입장하였다. 16:06 하지 중장은 앉은 채로 조인식 시작을 선언하였다. 영문과 일문으로 된 항복문서가 파란 천이 덮여있는 일본군 측 책상 위에 놓여 있었다. 쪼오쯔끼가 먼저 서명했다. 뒤를 이어 야마구치와 아베가 서명했다. 하지 중장, 킨케이드 제독 순으로 미국 측이 서명했다. 하지 중장의 간단한 폐식사와 함께 조인식이 끝났다. 아베 총독은 병원에 입원한 상태였으나, 이날 가까스로 나와 항복문서에 서명한 것이었다. 아베가 항복문서에 서명한 것은, 미군 제24사단장 하지 중장에게만 한 것이었다. 소련 측에는 항복문서 서명을 안 했다. 한반도에서 유일한 항복문서인 이것은 한반도 전체를 미국에 인계한다는 의미가 들어있는 것이었다. 이날 1945년 9월 9일 16:00를 기해 38도 선 이남에서 일본 국기 게양이 금지되었다. 16:35 조선총독부 정문에 걸려 있던 일장기가 내려졌다. 대신 성조기가 게양되었다. 미군정의 시작이었다. / 변상문 국방국악문화진흥회 이사장 2025-10-13 08:00

사진

국감, 與 조희대·野 김현지 놓고 '강대강' 예고 [서울=뉴스핌] 신정인 배정원 기자 = 오는 13일부터 약 3주간 이재명 정부에 대한 첫 국정감사가 시작된다. 국감 증인으로 더불어민주당은 대법원장을, 국민의힘은 김현지 대통령실 제1부속실장을 요구하면서 '강대강' 충돌이 예상된다. 12일 정치권에 따르면 민주당은 '윤석열 내란 잔재 청산'을, 국민의힘은 '이재명 독재 저지'를 국감 기조로 규정했다. [서울=뉴스핌] 윤창빈 기자 = 정청래 더불어민주당 대표가 10일 오전 서울 여의도 국회에서 열린 최고위원회의에서 모두발언을 하고 있다. 2025.10.10 pangbin@newspim.com 특히 민주당은 3대 개혁 과제 중 하나인 사법개혁의 핵심으로 조 대법원장을 놓고 집중 추궁에 나설 방침이다. 통상 대법원장은 국감 출석 후 법사위원장의 동의로 이석하는 것이 관례지만, 이번 국감에서는 이석을 허용하지 않고 직접 답변을 듣겠다는 계획이다. 당에선 조 대법원장이 불출석할 경우 동행명령장 발부도 염두에 두고 있다. 정청래 민주당 대표는 지난 10일 국회 최고위원회의에서 조 대법원장 등을 겨냥해 "개혁에 저항하는 반동의 실체들"이라며 "반격의 여지를 남겨두면 언제든 다시 내란세력은 되살아난다. 다시는 내란을 생각하지조차 못하도록 하는 것이 빛의 혁명의 정신을 이어가는 길"이라고 강조했다. [서울=뉴스핌] 윤창빈 기자 = 송언석 국민의힘 원내대표가 10일 오전 서울 여의도 국회에서 열린 국정감사 대책회의에서 모두발언을 하고 있다. 2025.10.10 pangbin@newspim.com 국민의힘은 김 부속실장 출석을 요구하며 역공에 나선 상황이다. 최수진 국민의힘 원내수석대변인은 논평에서 김 부속실장의 총무비서관 재직 당시 인사 개입 의혹, 산림청장 천거 관련 보은 인사 논란 등을 겨냥해 "대통령 최측근이자 1급 공직자인 김 실장은 국감에 출석해 각종 의혹을 국민 앞에 직접 해명해야 한다"고 강조했다. 송언석 국민의힘 원내대표도 김 부속실장을 두고 "성남 라인의 비선 실세들이 도처에서 움직이고 있다는 소식이 끊이지 않는다. 국민의힘은 독재를 저지하고 국민의 삶을 지키는 국감을 만들겠다"고 강조했다. 당은 대통령실을 피감 기관으로 둔 국회 운영위원회뿐 아니라 김 부속실장의 각종 의혹에 대해 상임위별 증인으로 출석시키겠다는 입장이다. 이외에도 여당에 맞서 한미 관세협상과 국가정보자원관리원 화재, 통신사 해킹 사고 등에 대해 정부의 실책을 따져물을 전망이다. allpass@newspim.com 2025-10-12 06:00