"북한 해커, '바이든 정책분석' 위장 사이버공격…코로나 백신회사도 해킹"

기사입력 : 2020년11월18일 09:00

최종수정 : 2020년11월18일 15:13

北 연구자·탈북민·기자 등 집중공격…'탈륨' 추정
MS "북한, 코로나19 백신개발 제약회사 7곳 해킹"

[서울=뉴스핌] 이영태 기자 = 북한 추정 해커들이 최근 미국 대선에서 승리한 조 바이든의 북한 정책 분석 문서로 위장한 파일로 사이버 공격을 감행한 것으로 알려졌다. 마이크로소프트는 북한 해킹그룹 '라자루스' 등 3곳이 한국·미국·프랑스·캐나다 등의 제약회사 7곳과 백신 개발 연구소에 해킹 공격을 감행했다고 지적했다.

17일 자유아시아방송(RFA)에 따르면 미국뿐 아니라 한국 내 방위 산업체를 포함해 북한 연구 분야 종사자와 탈북민, 북한 관련 취재기자를 집중적으로 공격하는 북한 해킹조직 '탈륨'의 소행으로 추정되는 사이버 공격이 포착됐다.

바이든 시대 북한 비핵화 내용 등으로 현혹하며 '콘텐츠 사용' 버튼 실행을 유도하는 악성 문서 화면(위)과 바이든 시대 북한 비핵화 내용 등으로 현혹하는 악성 문서 실행 화면(아래). 2020.11.18 [사진=이스트시큐리티/RFA 캡처]

'탈륨'은 지난해 12월 다국적 기업인 마이크로소프트(MS)가 미국 버지니아주 연방법원에 정식으로 고소장을 제출하며 국제사회에 알려진 해킹 조직으로 북한 정권과 관련돼 있는 것으로 추정된다.

한국 민간 보안업체인 이스트시큐리티는 이날 RFA에 지난 3일 미국 대선 결과에 따른 '바이든 시대 북한 비핵화 협상의 또 하나 암초 – 북한체제안전 보장 문제'란 제목의 워드문서를 통해 특정 관계자의 정보를 노린 '지능형지속위협'(APT) 방식의 사이버 공격이 포착됐다고 밝혔다.

업체에 따르면 새롭게 발견된 악성 파일은 MS 워드 문서(DOC) 형태로 유포되고 있으며, 전자우편에 문서 파일을 내려받기(download)할 수 있는 '인터넷 주소'(URL)를 기재해 수신자가 내려받아 악성감염을 유도하는 방식이다.

이 '인터넷 주소'는 마치 한국의 유명 인터넷 검색업체인 네이버(Naver)의 인터넷 주소와 유사하게 위조돼, 수신자가 공식 사이트로 생각하고 의심없이 위조 웹사이트를 통해 악성 문서를 내려 받도록 설계돼 있다. 전자우편 수신자가 위조 웹사이트에서 악성 문서 파일을 내려받아 실행하면, 문서 내용이 바로 보이지 않고 상단에 보안 경고창이 나타나며 '콘텐츠 사용' 버튼을 클릭하도록 유도한다.

이때 '콘텐츠 사용' 버튼을 클릭하면 정상적인 문서 내용이 나타나지만, 실제로는 내부에 숨겨진 악성코드 명령이 순식간에 작동해 컴퓨터의 정보를 해커가 지정한 서버로 전송하고, 추가 원격제어 등의 해킹 피해로 이어질 수 있는 상태가 된다.

업체는 '콘텐츠 사용' 버튼을 클릭하면 나타나는 문서에는 미국과 북한의 비핵화 협상 제안과 회담 내용 등을 담고 있어, 북한 관련 분야에서 활동하거나 관심을 가진 사람이 위협에 노출될 가능성이 높다고 지적했다. 그러면서 이처럼 악성 문서 파일 기반으로 공격한 점을 미뤄볼 때, 이번 공격은 전형적인 스피어 피싱 공격일 가능성이 높다고 지적했다.

이와 관련 미국 민주주의수호재단(FDD)의 사이버안보 전문가인 매튜 하 연구원은 이날 RFA에 '김수키'라는 이름으로도 알려진 '탈륨'의 사이버 공격이 2016년 이후 증가하고 있다고 말했다.

그는 사이버 공격이 2016년 이후 대북제재, 코로나19, 재택근무 증대, 식량안보 문제, 내부불안정 등으로 인해 북한이 새롭게 수익을 창출하는 방법으로 사이버 공격을 증가시키고 있다고 설명했다.

하 연구원은 "북한은 더 많은 불법적인 수입을 끌어내기 위해 사이버 공격을 집중하고 있다"며 "북한이 정보탈취와 돈벌이에 많은 노력을 쏟고 있는 유일한 불량 사이버 강국임은 두말할 나위도 없다"고 비판했다.

◆ 마이크로소프트 "북한, 코로나19 백신개발 제약회사 7곳 해킹"

미국 국무부는 같은 날 최근 북한이 신종 코로나바이러스 감염증(코로나19) 백신 개발 회사 등을 대상으로 해킹 공격을 감행했다는 MS의 지적과 북한의 잇따른 사이버 공격에 대한 RFA의 논평요청에 대한 답변 수위를 전보다 더 높였다.

국무부 대변인실 관계자는 "북한은 금융기관에 중대한 사이버 위협을 가하고 있으며, 여전히 사이버 첩보 활동은 위협으로 남아 있고, 파괴적인 사이버 활동을 수행할 수 있는 능력을 보유하고 있다"고 언급했다.

MS 톰 버트 부사장은 최근 자사 공식 블로그에 북한 해킹그룹 '라자루스' 등 3곳이 한국·미국·프랑스·캐나다 등의 제약회사 7곳과 백신 개발 연구소에 해킹 공격을 감행했다고 공개했다. 그는 "공격 대상은 대부분 코로나 백신 개발과 관련해 다양한 의료 시험 단계에 있는 제약회사들이었다"면서도 구체적인 공격 대상과 내용에 대해선 언급하지 않았다.

제이슨 바틀릿 신미국안보센터 연구원은 16일(현지시각) 미국의소리(VOA) 방송에 "북한이 이 회사들을 대상으로 해킹 공격에 나서는 이유는 스스로 백신 등을 개발할 수 있는 전문 기술이나 장비가 없기 때문에 기술적, 과학적으로 발전된 미국이나 한국 등을 대상으로 정보를 탈취하려 한다"고 분석했다.

앞서 국무부는 지난 6월 북한의 악의적인 사이버 활동은 미국과 전 세계 국가들을 위협하고 있기 때문에 다른 국가들과 협력하고 있다는 원론적인 입장만 밝힌 바 있다. 당시 국무부는 북한의 사이버 공격과 관련해 RFA에 "미국은 사이버 공간을 교란하고, 파괴적 또 그밖의 불안정을 야기하는 행동에 주의를 집중하고, 비난하기 위해서 동일한 생각을 가진 국가들과 긴밀히 협력하고 있다"고 했었다.

medialyt@newspim.com

사진

[이재명의 사람들] '집사' 김남준 [서울=뉴스핌] 지혜진 기자 = 김남준 대통령 제1부속실장은 '진심으로 이재명을 위하는 사람'으로 꼽힌다. 지난해 총선 이후 이재명 대통령이 당대표로서 확고한 리더십을 확립하면서 '이제는 민주당 의원 170여명 모두가 친명(친이재명)'이라는 말이 나올 때도 김 실장은 이 대통령의 안위와 향후 행보를 진심으로 걱정하는 '진짜 이재명의 사람'으로 평가받았다. 그렇기에 김 실장은 이 대통령의 선택에 매번 신중하고 우려스러운 시각을 나타냈었다. 일례로 김 실장은 이 대통령의 당대표 연임을 반대했다. 지난해 6월쯤 당내 기류는 '리더십이 공고한 이 대통령이 한번 더 당대표를 해야 한다'는 입장이 지배적이었다. 그러나 참모인 김 실장은 "당을 위해선 연임을 하는 게 맞겠으나 본인(이재명)의 대권을 위해선 안하는 게 맞다"는 입장이었다. 조기대선을 예상할 수 없던 그 시점에는 연임하는 당대표가 2026년 지방선거 공천까지 책임질 각오를 해야 했다. 이미 총선을 압승으로 이끈 '성공한 당대표'였던 이 대통령이 굳이 연임해서 지방선거라는 변수를 책임질 필요가 없다는 게 김 실장의 시각이었다. 김남준 제1부속실장. [사진=김남준 SNS] 2022년 대선에서 패배한 이 대통령이 인천 계양을 보궐선거에 참전하는 것도 반대했다. 대신 원외에서 당대표에 도전하라고 조언했다. 이 대통령이 너무 일찍 국회에 입성하면 이미지나 에너지 소모가 너무 클 수 있다는 우려 탓이다. 오로지 '대통령 이재명'이 되는 데 유리한 선택이 무엇인지 고민한 것이다. 이번 대선을 앞두고는 이 대통령의 'PI'(President Identity)를 고민하면서 온화하고 무게감 있는 이미지를 부각하려고 애썼다. 성남시장이나 경기도지사 때 이 대통령의 강한 이미지가 두드러진 만큼 대통령으로서는 신중함을 강조하려고 뒷받침했다. 그러한 노력 중 하나가 이 대통령이 자신의 페이스북에 글을 못남기도록 비밀번호를 바꾼 일이다. SNS(소셜네트워크서비스) 소통에 능한 이 대통령이 밤 늦은 시각에 '날 것 그대로'의 발언을 올릴까 우려해서다. 현안에 대해 깊이 있는 토론이 가능한 이 대통령의 장점을 살리기 위해 짧은 공중파 방송 인터뷰보다 1시간 이상 길게 이야기할 수 있는 유튜브 방송에 이 대통령이 출연하도록 조언하기도 했다. 김 실장은 성남 지역 케이블방송 기자 출신으로 이 대통령과 함께 일한 지는 10여년 정도 됐다. 2014년 재선 성남시장이던 이 대통령은 김 실장에게 성남시 대변인 자리를 제안했다. 이 대통령이 경기도지사에 당선됐을 때는 경기도청 언론비서관으로 일했다. 이후 국회에 입성해서도 김 실장은 의원실 보좌관, 정무조정부실장 등을 역임하며 이 대통령의 최측근에서 보좌했다. 이번 대선 선거대책위원회에선 후보 일정팀 선임팀장을 맡았다. 언론인 출신인 만큼 언론 소통을 총괄해왔다. 국회 기자들뿐만 아니라 이 대통령의 수사와 재판을 취재하는 법조 기자들도 김 실장이 직접 소통한 것으로 알려졌다. '체력 좋은' 이 대통령의 일정을 보좌하느라 계엄 직후인 올해 초에는 한동안 벌겋게 충혈된 눈으로 업무를 보기도 했다. 김 실장이 담당할 제1부속실은 대통령의 일정, 수행, 현안보고 등 대통령을 최지근거리에서 보좌하는 곳이다. 매 정권마다 대통령의 복심이 제1부속실장 자리를 맡아왔다. '문고리' 혹은 '문지기' 권력으로도 불린다. heyjin@newspim.com 2025-06-13 14:08

사진

李대통령, 오광수 민정수석 사의 수용 [서울=뉴스핌] 이영태 선임기자 = 이재명 대통령은 13일 전날 밤 사의를 표명한 오광수 대통령실 민정수석비서관의 사의를 수용했다. 강유정 대통령실 대변인은 이날 오전 브리핑에서 "오광수 민정수석이 어젯밤 이재명 대통령께 사의를 표했다"며 이같이 말했다. 오광수 대통령실 민정수석비서관 [사진=대통령실] 강 대변인은 "이 대통령은 공직기강 확립과 인사 검증을 담당하는 민정수석의 중요성을 두루 감안해 오 수석의 사의를 받아들였다"고 전했다. 이어 "대통령실은 이재명 대통령의 사법개혁 의지와 국정 철학을 깊이 이해하고 이에 발맞춰 가는 인사로 조속한 시일 내에 차기 민정수석을 임명할 예정"이라고 부연했다. 대통령실 관계자는 차명 부동산과 차명 계좌 의혹으로 오 수석이 물러난 만큼 차기 민정수석 검증 기준에 청렴함 등이 포함될 것이야는 질문에 "일단 저희가 가지고 있는 국정철학을 가장 잘 이해하고 이를 시행할 수 있는 분이 가장 우선적인 이재명 정부의 인사검증 원칙이라고 할 수 있겠다"며 "새 정부에 대한 국민들의 기대감이 워낙 크기 때문에 그 기대에 부응하는 게 첫 번째 사명"이라고 답했다. 이 관계자는 오 수석 건을 계기로 인사 검증 기준이라 원칙이 마련될 수 있느냐는 질의에는 "이 대통령이 여러 번 표방했던 것처럼 우리 정부에 대한 기대감, 그리고 실용적이면서 능력 위주의 인사가 첫 번째 가장 먼저 포방될 원칙"이라며 "그리고 여러 가지 우리 국민들이 요청하고 있는 바에 대한 다방면적인 검토는 있을 예정"이라고 언급했다. medialyt@newspim.com 2025-06-13 09:43