큰사진보기
|
| ▲ 7일 오전 통일부 등록 취재기자들에게 배포된 해킹시도 이메일 본문. |
| ⓒ 안홍기 | 관련사진보기 |
외교·안보 분야 전문가 및 공무원을 대상으로 한 해킹 시도가 이어지고 있는 가운데, 통일부를 취재하는 언론사 기자들에 대한 공격도 이어졌다. 북한의 소행으로 추정된다는 보도가 나오고 있지만, 아직 단정하긴 이르다는 지적도 나온다.
7일 오전 통일부 취재기자로 등록된 기자 70여 명에게 해킹 시도 이메일이 발송됐다. 이 이메일에 수신자로 지정된 명단과 현재 통일부 등록 취재기자 명단은 일부 차이가 있지만 거의 같다. 해킹 주체가 최근의 '통일부 출입기자단 메일링 리스트'를 확보한 것으로 보이는 대목이다. 통일부 직원 혹은 출입기자의 이메일을 해킹해 이같은 명단을 확보했을 가능성이 점쳐진다.
이 이메일에는 참고자료를 보낸다는 짧은 내용과 함께 1개의 압축파일이 첨부돼 있다. 압축파일엔 2개의 PDF 파일과 1개의 hwp(한글워드문서) 파일이 들어 있다.
이 중에서 hwp파일이 PC에 악성코드를 심는 파일이다. 마치 hwp파일로 보이게 만들었지만 이 파일은 확장자가 exe인 실행파일이다. 한글워드 파일인 줄 알고 열면 컴퓨터가 악성코드에 감염되도록 한 것으로 보인다. 이 이메일은 다음 포털의 hanmail.net 이메일을 통해 발송됐다.
지난 3일 김정은 북한 국무위원장의 신년사에 대한 통일부의 평가 내용을 가장한 이메일이 유포됐는데, 이와 거의 비슷한 수법이다.
'북한 신년사' 해킹 공격에 대해선 보안업체 이스트시큐리티 시큐리티대응센터가 지난 4일 분석 결과를 발표한 바 있다. 시큐리티대응센터는 이 공격을 표적의 정보를 꾸준히 모아 약점을 파악한 뒤 공격하는 APT(지능적 지속 위협, Advanced Persistent Threat) 공격으로 규정했다.
이 공격을 당한 PC는 악성코드에 감염되는데, 사용자가 키보드로 입력한 내용을 별도로 저장한 뒤 이메일로 해커에게 전송하게 된다.
시큐리티 대응센터는 "이번 공격 사례를 역조사하다 보면 2014년 한국수력원자력(한수원) 공격에 사용된 사례와 연결된다"고 밝혔다. 2014년 12월 한수원 원자로 설계도면 등 내부 자료가 해킹돼 일반에 공개된 사건이 있었다. 이 사건을 수사한 검찰 개인정보범죄 합동수사단은 2015년 3월 이같은 해킹이 북한 소행이라고 발표했다.
따라서 이번 '통일부 기자단' 건과 '북한 신년사' 건, 2018년 여러 차례 발생한 외교·안보 분야를 겨냥한 해킹 시도들에 대해 북한이 배후라는 보도들도 이어지고 있다.
보안업체 "한수원 때와 동일그룹이라고 100% 단정 못해"
큰사진보기
|
| ▲ 시큐리티 대응센터는 "이번 공격 사례를 역조사하다보면 2014년 한국수력원자력(한수원) 공격에 사용된 사례와 연결된다"고 밝혔다. 사진은 해킹 논란이 이어지던 2015년 3월 당시 서울 삼성동 한수원 본사 층별 안내판의 모습. (자료사진) |
| ⓒ 연합뉴스 | 관련사진보기 |
하지만 최근 이어지고 있는 일련의 해킹 시도를 북한의 소행이라고 단정하기엔 이르다는 지적들도 나온다.
이스트시큐리티 관계자는 7일 <오마이뉴스>와 한 전화통화에서 우선 "'통일부 기자단' 공격에 대해선 아직 분석이 진행 중"이라고 밝혔다. '북한 신년사' 공격과 수법의 유사성은 있지만 아직은 소스코드의 유사성을 확인하지 못했기 때문에 동일 주체의 소행으로 결론 내긴 이르다는 것이다.
이 관계자는 '북한 신년사' 공격과 관련해 "한수원 해킹과 소스코드나 공격패턴의 유사성으로 봐선 같은 그룹의 해킹 시도로 추정할 수 있다"면서도 "당시 알려진 소스코드와 공격패턴을 얼마든지 따라 할 수 있기 때문에 동일 그룹의 소행으로 100% 단정하는 것은 어렵고, 관련 기관의 수사 등으로 밝혀져야 할 부분"이라고 설명했다.
디지털포렌식 전문가인 김인성 전 한양대 교수는 해킹 시도를 북한 소행으로 단정하는 것은 "책임자들이 면피하기 좋은 구실"이라고 지적했다. 그동안 해킹 방지에 역점을 두기보다는 '북한 소행이니 어쩔 수 없다'는 식으로 대응해온 구실이 돼 왔다는 것이다.
김 전 교수는 "해커에게 국적이 어딨는가, 중국 쪽에서 이윤을 목적으로 일상적으로 벌어지고 있는 게 해킹이고, 이들이 마음만 먹으면 우회해서 북한 소행으로 보이도록 만들 수 있다"며 "(2011년) 농협 전산망 해킹뿐 아니라 다른 사건들도 북한 소행임을 확증하는 증거는 나오지 않았다"고 지적했다.