"통일교육원 전 직원 사칭 해킹 발견…북한 '김수키' 배후 추정" > 최근뉴스

[주요뉴스] "통일교육원 전 직원 사칭 해킹 발견…북한 '김수키' 배후 추정"

분석…'청와대 행사 견적서' 해킹 사례 변종

(서울=연합뉴스) 홍유담 기자 = 북한과 연계한 것으로 추정되는 해킹 그룹이 통일부 산하 통일교육원의 전직 직원을 사칭해 불특정 다수 기업을 공격한 정황이 포착됐다.

보안 전문기업 이스트시큐리티 시큐리티대응센터(ESRC)는 특정인의 실제 주민등록등본 PDF 스캔 파일로 위장한 악성 파일을 지난 6일 발견했다고 7일 밝혔다.

해당 특정인의 신원에 대해 ESRC은 언급하지 않았으나, 자유아시아방송(RFA)은 '통일부 산하 통일교육원 전직 직원'이라고 전했다.

한 국내 중소기업이 이 파일이 첨부된 메일을 받은 것에 미루어 여러 기업에 유포됐을 것으로 보인다.

이 파일은 이중 확장자를 이용해 겉으로는 PDF 문서로 보이지만, 실제로는 'exe' 실행 파일과 동일하게 작동되는 'scr'(화면보호기) 확장자 형식을 지녔다.

인터넷 연결 상태인 PC에서 이 파일을 실행하면 해커는 사용자 몰래 해당 PC를 원격 조작하거나 내부 자료를 탈취할 수 있다.

ESRC는 이번 공격의 배후로 '김수키(Kimsuky)'를 지목했다.

김수키 그룹은 북한과 연계설이 제기되는 해킹조직이다. 2014년 한국수력원자력 해킹 사건에 이어 지난해 통일부와 경찰청, 암호화폐 거래소를 상대로 피싱 공격을 했다는 의혹을 받는다.

이번 공격은 지난해 12월 4일 김수키가 시도한 것으로 알려진 '청와대 행사 견적서' 사칭 해킹 사건의 변종으로 분석됐으며, 지난달 17일에도 유사한 변종 공격이 포착됐다고 ESRC는 설명했다.

통일부 관계자는 "그런 해킹 시도가 있었던 것으로 알고 있다"면서도 통일부가 직접 공격 대상이 되거나 피해를 보지는 않았다고 밝혔다.

또한 "북한 소행 여부에 관해서는 확인된 바 없다"며 "국가사이버안전센터 등 관계 기관에서 조사 중인 것으로 안다"고 덧붙였다.

문종현 ESRC 이사는 "확장자를 유심히 볼 수 있도록 파일 옵션 설정을 바꿔놓을 필요가 있다"며 "메일에 첨부 파일이나 링크가 있는 경우 각별히 신경 쓰고 발신자가 신뢰할만한지 확인해야 한다"고 조언했다.

ydhong@yna.co.kr

댓글목록

등록된 댓글이 없습니다.