"구글이 보낸 메일이 아니네?"…교묘해진 北 해킹에 美 정부 사이버보안 '경고'

北, '김수키' 위장 메일로 핵무기 관련 정보 집중 수집…美 국무부·FBI·NSA, 합동 권고문 발표

컴퓨팅입력 :2024/05/04 11:00

북한 해커들의 움직임이 갈수록 지능화되고 교묘해지고 있는 가운데 구글, 하버드대 등의 메일 주소를 사칭한 '이메일 피싱'이 최근 활발히 진행되고 있어 주의가 요구된다. 

4일 업계에 따르면 미국 국무부와 연방수사국(FBI), 국가안보국(NSA)은 지난 2일 '북한 공격자들의 DMARC 정책을 악용한 스피어피싱에 주의'라는 제목의 공동 입장문을 내놨다. 이 입장문에는 북한 해커조직 '김수키(Kimsuky, APT43)'가 지난해부터 최근까지 시도해 온 공격 사례와 방식을 분석한 내용이 포함됐다.

DMARC란 '도메인 기반 메시지 인증·보고·규정 준수(Domain-based Message Authentication, Reporting and Conformance)'의 줄임말로, 현재 전 세계에서 가장 보편적으로 쓰이는 이메일 도메인 보안 수단이다.

미국 국무부와 연방수사국(FBI), 국가안보국(NSA)은 지난 2일 '북한 공격자들의 DMARC 정책을 악용한 스피어피싱에 주의'라는 제목의 공동 입장문을 내놨다. (이미지=코파일럿 제작)

입장문에 따르면 김수키는 DMARC 인증의 취약점을 파악한 후 세계적으로 저명한 도메인들을 사칭에 활용했다. 구글, 하버드 대학이 대표적으로, 이들의 주소를 이용해 가짜 설문 조사, 행사 개최 이메일을 발송했다. 이를 통해 답변과 정보를 수집하거나 악성 코드가 포함된 첨부파일을 전송했다.

지난해 말부터 올 초까지 미국 정부, 국제기구 관계자들에겐 '미국의 대북 정책 컨퍼런스'라는 제목으로 이메일을 보내기도 했다. 직접 참석하면 교통비·숙박비를 지원하고 강연료 500달러를 제공한다는 내용이 포함됐으나, 모두 가짜였다. 첨부 파일을 여는 순간 악성 코드가 깔렸고 북한 해커들은 정보를 탈취했다.

3개 기관은 "북한은 세계 각국의 외교 전략과 경제 정책은 물론 학계의 연구 동향, 기업 간 통신과 주요 기업인의 사문서에 이르기까지 광범위하게 정보를 수집한 것으로 보인다"며 "단순히 도메인을 사칭하는 것을 넘어 언론인과 학자, 동아시아 문제 전문가 등 개인을 위장한 사례도 있어 주의를 요한다"고 밝혔다.

미국 국무부는 권고문을 통해 "미국 정부는 북한의 사이버 해킹 조직들의 지속적인 정보 수집 시도를 관찰해 왔다"며 "유엔 안보리 제재를 받은 북한의 군사정보 조직 정찰총국이 이런 활동의 주 책임 부서로 파악된다"고 말했다.

이번에 언급된 김수키는 에메랄드 슬릿(Emerald Sleet), APT43, 벨벳 천리마, 블랙 반시 등의 이름으로도 알려진 북한의 대표적인 사이버 해킹 조직이다. 지난 2023년 6월 한국 정부 대북제재 명단에도 별도로 등록된 악명 높은 조직으로, 한국수력원자력과 한국항공우주산업 등 공공기관에 해킹을 자행해왔다.

미국 국무부·연방수사국(FBI)·국가안보국(NSA)이 지난 2일(현지시간) 공개한 사이버 보안 강화 권고문 (사진=권고문 캡처)

업계에선 북한의 목표가 한국이나 미국을 포함한 관련 국가의 최신 정보에 지속적으로 접근해 북한 정권 안보에 영향을 미칠 수 있는 정치적·군사적·경제적 조치를 방해하는 것이라고 봤다. 

업계 관계자는 "북한은 스피어피싱(특정 목표의 정보를 캐내기 위한 피싱) 공격을 통해 표적에 접근한 뒤 외교 정책, 전략 등 북한의 이익이 걸린 다양한 정보 수집을 시도하고 있는 것으로 보인다"고 말했다.

3개 기관은 이메일 메시지가 해당 조직의 도메인에서 정상적으로 전송됐는지 여부를 인증하는 보안 프로토콜 DMARC의 정책적 강화를 권고했다. 

개리 프레아스 구글 클라우드 맨디언트 수석 애널리스트는 "북한 정부와 해킹 조직의 사이버 공격 사례들을 분석해본 결과 미국과 동맹국들의 핵 무기 확산, 관련 규제 등에 대한 동향을 사전 수집하려는 의도가 있음을 파악했다"며 "DMARC 정책을 안전하게 갖춰 놓으면 피싱 등을 효과적으로 방지하는 데 큰 도움이 된다"고 밝혔다.

네일 쿠마란 지메일 그룹 제품 매니저는 "DMARC와 같은 표준은 이메일 발신자뿐만 아니라 수신자에게도 메시지의 출처와 진위 여부에 대한 신뢰를 심어주는 데 도움이 된다"며 "최근 수십억 명의 지메일 사용자를 안전하게 보호하기 위해 대량 발신자에게 DMARC 및 기타 주요 보안 및 인증 표준을 구현하도록 요구하기 시작했다"고 설명했다.

관련기사

3개 기관은 '악의적인 북한 사이버 해킹 징후일 수 있는 위험 신호'로 ▲문장 구조가 어색하거나 문법이 틀린 영어 이메일 ▲이름과 이메일 주소 철자가 미묘하게 이상이 있는 이메일 ▲과거 정상적으로 주고받은 메시지 일부 내용과 텍스트가 포함돼 있는 이메일 등을 주의하라고 권고했다. 

미 정보 당국은 "DMARC 정책을 안전하게 갖춰 놓으면 김수키와 같은 악의적 행위자가 공격 대상에게 스피어피싱 메시지를 보낼 때 해당 조직의 정상적 이메일 도메인 도용을 막을 수 있다"며 "DMARC 정책을 업데이트하고 사이버 보안 태세를 강화해야 한다"고 강조했다.