글로벌 사이버보안 기업 맨디언트 보고서 발표

북한의 해커들이 언론인과 학계 인사 등으로 위장해 미 정부의 핵안보 정책에 대한 정보수집을 시도하고 있는 것으로 전해졌다.

28일(현지시간) 뉴욕타임스(NYT)와 워싱턴포스트(WP), 블룸버그통신 등 미 언론에 따르면 글로벌 사이버 보안 기업이자 구글 클라우드 파트너인 맨디언트는 북한의 사이버 그룹이 최근 몇 달간 미국 및 한국의 정부 기관과 학계, 싱크탱크 등을 겨냥해 전략 정보를 수집하기 위해 특정 언론사 기자로 위장하고 있다고 밝혔다.

맨디언트에 따르면 'APT43'으로 알려진 그룹 소속 해커들은 '미국의소리(VOA)' 방송의 기자로 가장해 관련 주제 전문가들에게 핵 안보 정책과 무기 확산에 대해 문의했다.

VOA기자로 위장한 이 해커는 익명의 한 전문가에게 '북한의 핵 실험으로 일본이 방위비를 증액할 것으로 보느냐'는 취지의 질문을 보낸 뒤 "5일 내에 답변을 보내주시면 대단히 감사하겠다"고 적었다.    

또 NYT의 채용 담당자인 것처럼 속여 허위 이메일 첨부 파일을 관련자들에게 배포하기도 했다.

WP에 따르면 동북아 전문가인 브루스 클링너 헤리티지재단 선임연구원도 에이단 포스터-카터 영국 리즈대 명예 선임연구원으로부터 제이미 퀑 카네기국제평화재단 핵정책 프로그램 연구원의 논문을 검토해줄 수 있느냐는 메일을 받았다.

클링너 연구원은 흔쾌히 동의했고, 이후 퀑 연구원과 논문에 대해 이메일을 주고받기 시작했다. 그러던 중 수상한 링크가 포함된 이메일을 받아 이를 IT팀에 전달한 결과, 해당 이메일은 악성프로그램인 것으로 확인됐다. 그간 받았던 이메일도 모두 모두 함정이었다. 포스터-카터 연구원과 퀑 연구원 모두 클링너 연구원에게 연락하지 않았던 것이다.  

맨디언트의 해외정보 책임자인 샌드라 조이스는 이 해킹 그룹이 북한의 정보기관인 정찰총국 소속이라고 매우 확신한다며 "누구나 피해자가 될 수 있다. 그들은 믿을 수 없을 정도로 혁신적이고 단편적인 그룹"이라고 말했다.

보안전문가들은 APT43이 개인식별 정보를 훔쳐 해당 데이터를 사용해 가짜 웹 계정을 만들고 도메인을 등록하는 데 능숙하다고 말했다고 블룸버그는 전했다.

해커들은 학자들에게 자신들을 대신해 연구 논문을 쓰는 대가로 수백 달러를 지급하겠다고 제안하기도 했다.  

APT43은 또 신뢰도를 높이기 위해 미 코넬대 홈페이지를 사칭하는 등 마치 합법적인 사이트처럼 보이도록 일련의 웹 도메인을 등록해왔다고 맨디언트는 밝혔다.

아울러 악성 앱을 사용해 암호화폐를 생성하고, 사용자명과 비밀번호를 훔쳐 핵 정책에 대한 국제 협상에 초점을 맞춘 스파이 활동을 수행한다고 블룸버그는 전했다.

이와 관련, APT43은 암호화폐 절도와 관련해 대규모 암호화폐 거래소가 아닌 일반 사용자들을 대상으로 한 암호화폐 절도 및 돈세탁에 관여하고 있는 것으로 전해졌다.

블룸버그는 "미 언론인을 사칭하려는 움직임은 김정은 정권이 후원하는 것으로 알려진 또 다른 해킹 그룹이 암호화폐 분야에 집중한 이후 나온 것"이라고 했다.

블록체인 분석업체 체이널리시스에 따르면 북한 해킹그룹은 지난해 약 17억 달러에 달하는 암호화폐를 훔쳤다.

기사제공=뉴스1(시애틀N 제휴사)