북한 해커조직이 국내 북한인권 단체와 활동가들을 대상으로 사이버 공격을 시도한 정황이 포착됐다.

데일리Nk이에 따르면 지난 28일 이광백 국민통일방송 대표가 제공한 피싱 의심 메일을 전문가에게 의뢰해 분석한 결과 해당 메일은 북한 해킹 조직 ‘탈륨(Thallium)’의 소행으로 나타났다.

문종현 이스트시큐리티 ESRC(시큐리티대응센터) 이사는 이날 본지에 “공격자가 사용한 발신지 서버가 기존 탈륨 조직이 사용하던 것과 공격 흐름상 거의 일치한다”면서 “탈륨은 김수키(Kimsuky)와 같은 조직이다”고 말했다.

탈륨은 지난해 미국 마이크로소프트사(社)가 연방법원에 고소한 북한 해킹 조직이다. 김수키는 지난 2014년 한국수력원자력을 공격했으며 최근까지 국내 정치인, 학자, 탈북민, 대북단체 관계자들을 대상으로 지능형 지속 위협 공격(APT)을 지속해온 북한 해킹 조직이다. 두 조직은 동일하거나 상당히 밀접한 관계에 있는 것으로 알려졌다.

해커는 국내 북한인권 단체의 이름을 도용해 ‘북한 핵실험장 지역 인근 출신 탈북민 명단-1.hwp”라는 제목의 이메일을 이 대표에게 보냈다. 이메일 제목과 발신자명으로 공격 대상자가 이메일을 열람하게 하려는 수법이다.

문 이사는 “이메일 발신지 주소가 네이버 메일이지만 실제로는 해커에 의해 조작된 것이다”면서 “피싱(Phishing)을 예방을 위해 이메일을 열람하기 전 발신자에게 발송 여부를 확인하는 것이 좋다”고 당부했다.

이메일에는 “북한 핵실험 지역 인근 출신 탈북민 명단 첨부합니다. 이들에 대한 구체적인 자료 있으면 보내주시면 감사하겠습니다. 빠른 회신 기다리겠습니다”라는 내용과 구글 드라이브 URL이 담겨 있었다.

문 이사는 “해당 URL을 클릭하면 팝업으로 네이버 로그인 창이 뜨고 사용자에게 주소와 비밀번호 입력을 요구한다”며 “여기에 정보를 입력하게 되면 해커가 준비해둔 해외 서버로 이메일 주소와 비밀번호가 유출된다”고 설명했다.

여기에 사용된 구글 드라이브 계정은 국내 유명 대학의 통일연구원을 사칭하고 있다. 이 역시 해커가 공격 대상자를 안심시키기 위해 안배해 놓은 장치 중 하나다.

문 이사는 “해커가 지메일을 만든 후 특정 기관을 사칭한 것으로 보인다”면서 “다른 공격에도 활용될 가능성이 있어 주의가 필요하다”고 말했다.