北 해커조직, IT·보안전문 변호사 사칭해 어디 공격했나

‘국가핵심인력등록관리제등검토요청(10.16).hwp’ 위장 파일 공격 포착
해당 변호사의 최근 관심사였던 암호화폐 거래소 및 회원 대상 공격 가능성

[보안뉴스 김경애 기자] 남북 화해 분위기 속에서도 북한 추정 사이버공격은 지속적으로 탐지되고 있다. 특히, 최근 발견된 ‘국가핵심인력등록관리제등검토요청’ 문서를 사칭한 악성파일이 누구를 타깃으로 했는지에 대해서도 관심이 모아지고 있다.

▲‘국가핵심인력등록관리제등검토요청’을 사칭한 악성파일 화면[자료=이스트시큐리티]

최근 본지는 ‘국가핵심인력등록관리제등검토요청’ 사칭 악성파일을 유포한 사실을 보도한 바 있다. 발견된 파일 이름은 ‘국가핵심인력등록관리제등검토요청(10.16).hwp’로 위장한 한글 파일이며, 해당 악성파일은 보안 및 IT 관련 이슈를 전문적으로 다루고 있는 국내 변호사의 이름을 사칭해 이메일을 통해 유포된 것으로 드러났다.

특히, 공격 배후로 북한 해커조직 ‘라자루스’가 지목되고 있는 가운데 실제 공격이 어디를 타깃으로 했느냐에 대해 관심이 집중되고 있다. 우선 이름을 사칭 당한 특정 변호사에게 사이버공격이 감행됐을 가능성과 암호화폐 거래소 및 회원, 관련 문서와 연관된 기관 등을 의심해 볼 수 있다.

이중 암호화폐 거래소 회원과 거래소를 공격했을 가능성에 대해 이스트시큐리티 문종현 이사는 “특정인을 사칭한 악성문서 공격의 경우 특정인에 대해 관심이 높은 대상자를 주요 타깃으로 삼는다”며 “해당 유명 변호사가 가상화폐와 관련해 칼럼을 작성한 바 있는데, 실제 거래소 회원을 대상으로 공격을 했는지는 현재 조사 중에 있다”고 밝혔다.

▲해당 변호사의 검색화면[이미지=구글 검색 화면]

이에 본지가 검색을 통해 살펴본 결과, 해당 변호사의 경우 언론 매체에 핀테크를 주제로 기고한 가상화폐, ICO 등과 관련된 칼럼 등이 많이 검색됐다.

이는 이전에 특정 국회의원이 암호화폐 활성화 주장을 펼쳤을 때, 당시 특정 국회의원을 사칭한 악성문서가 암호화폐 거래소와 회원을 타깃으로 유포된 것과 유사한 상황이라는 얘기다.

또한, 북한의 사이버공격 특성상 더 많은 피해를 입히기 위해 위장 또는 사칭 전술을 효과적으로 활용하고 있는 만큼 해당 변호사에 대해 관심도가 높은 인물군을 주목해야 한다고 덧붙였다.

이와 관련 한 보안전문가는 “북한의 해커조직은 남북화해 무드와 상관없이 지속적으로 해킹 공격을 감행하고 있다”며 “최근 미국이 발표한 북한의 사이버공격과 공격자로 지목한 북한 특정 해커에 대해 ‘농락하지 말라’며 ‘정치적으로 악용’하는 것이라는 주장을 우리민족끼리 대외 선전사이트에 자체 동영상 형태로 올렸다”고 밝혔다.

해당 이슈와 관련해 보안업계 관계자는 “명령제어(C&C) 서버가 국내에 있다면 증거 확보나 추적이 용이하겠지만, 해당 이슈는 C&C 서버가 모두 해외에 있어 수사나 해외 공조가 쉽지 않을 것”이라고 밝혔다.

또한, 해당 변호사의 PC 공격 가능성과 관련해서 본지가 해당 변호사에게 연락을 취한 결과 “관련 이슈에 대해 살펴보겠다”고 밝혔다.
[김경애 기자(boan3@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)