북한 연계 해킹조직이 올해 정부 관리와 언론인 등의 신분을 도용해 광범위한 해킹활동을 벌였다는 지적이 제기됐다고 VOA가 19일 전했다.

미국의 사이버 보안 전문업체 ‘프루프포인트’가 18일 ‘북한 해킹조직의 삼중 위협’이라는 제목의 보고서를 발표했다.

북한 정부와 연계된 `TA406' 이란 이름의 해킹조직이 올해 사이버 상에서 ‘갈취, 사기, 첩보’ 활동을 집중적으로 펼쳤다는 내용이다.

보고서는 TA406을 북한 정찰총국의 지휘를 받는 것으로 알려진 해킹조직 ‘김수키’의 산하조직으로 분류했다.

이 업체의 세러드 디그리포 부대표는 18일 ‘TA406을 북한 연계 해킹조직으로 판단한 근거’에 대한 VOA의 문의에, TA406의 ‘특정 전술, 기술과 수행 절차, 인프라 분석, 표적과 피해자, 메시지 분석’ 등을 바탕으로 판단했다고 대답했다.

디그리포 부대표는 프루프포인트가 그동안 다수의 북한 연계 해킹조직의 활동을 추적했다고 밝혔다.

보고서에 따르면 TA406의 활동은 지난 2018년 처음 확인된 뒤 한동안 뜸하다 올해 1월부터 6월 사이 집중적으로 포착됐다.

TA406은 특히 한반도나 북한 핵 문제와 관련해 활동하는 정치인, 외교정책연구소, 교수, 언론인 등을 대상으로 ‘신분 도용(credential-phishing)’ 공격에 집중했다.

보고서는 TA406의 수법이 기존의 해킹보다 발전됐다고 분석했다.

그동안 의심스런 첨부파일이나 가짜 로그인 페이지를 사용한 피싱은 많이 있었지만 TA406은 구직 관련 사회관계망 서비스인 ‘링크드인’ 등에 개설한 ‘가짜계정’을 활용한 스피어 피싱 전술을 활용한다는 것이다.

그러면서, TA406이 미 스탠포드대학 연구원 ‘토마스 지미’라는 ‘가짜신분’과 VOA 기자를 사칭한 스피어 피싱 사례를 소개하기도 했다.

보고서는 TA406의 활동은 올해 1월 이후에는 거의 주간 단위로 포착됐고, 대부분 공격이 북한 시각으로 오전 9시부터 오후 5시 사이 벌어진 것이 공통된 특징이라고 밝혔다.

또 이들의 목적이 주로 정보 수집과 첩보 활동이지만 금전적인 이익을 위해 가상화폐 관계자들을 표적으로 삼는 경우도 있다고 설명했다.

보고서는 특히 올해 3월 TA406의 공격 양상이 달라진 점에 주목했다.

이 기간 이전에는 관찰되지 않았던 조직과 개인으로 ‘표적’이 다변화했는데, 특히 정부의 선출직 공무원과 금융기관을 비롯해 기업 경영진 등 ‘고위 인사’를 대상으로 한 공격이 이뤄졌다는 것이다.

보고서는 지난 3월 북한의 미사일 시험발사와 같은 시기에 이뤄진 이 같은 공격이 정보 수집이나 신분 도용을 위한 목적보다는 ‘정치적 신호’일 가능성이 있다고 해석했다.

이와 관련해 미국의 안보 관련 민간연구소인 ‘발렌스 글로벌(Valens Global)’의 매튜 하 연구원은 18일 북한이 정치적 목적을 위해 미사일 시험발사와 함께 사이버 위협을 과시하려는 의도일 수 있다고 말했다.

사이버 활동을 비대칭 전력으로 활용하는 북한이 미사일 시험발사와 함께 사이버 공격을 단행함으로써 자신들의 사이버 위협 역량을 과시하려는 것으로 생각한다는 것이다.

프루프포인트 측은 TA406이 다른 북한 연계 해킹조직에 비해 가장 두드러진 특징은 ‘광범위한 표적’이라고 설명했다.

이 업체가 파악한 TA406의 표적은 ‘외교정책 전문가, 교육 기관, 비영리단체, 국제기구, 정부기관, 법집행 기관, 군 관련 조직, 미디어, 가상화폐거래소, 제약회사, 금융 및 경제 단체, 국방 관련 기관’등을 망라하고 있다.

보고서는 TA406이 북한 정부의 관심 기관을 표적 삼아 ‘신분 도용’ 활동 등을 지속적으로 펼 것으로 예상했다.