북한 해커들이 미국 주요 언론사 기자 행세를 하며 핵 안보와 대북 정책에 대한 정보 수집을 시도하고 있다는 분석이 나왔다.
28일(현지시간) 블룸버그 통신 보도에 따르면 미국 사이버 보안 기업 맨디언트는 최근 몇 달간 북한 사이버 스파이 그룹이 기자로 위장해 미국과 한국의 정부 기관·학계·싱크탱크 등을 대상으로 전략적 정보를 수집하기 위해 접근하고 있다고 밝혔다.
맨디언트는 ‘APT43’으로 알려진 북한 사이버 스파이 그룹 소속 해커들이 미국 국영 국제 방송 ‘미국의소리(VOA)’ 기자로 가장해 전문가에게 접촉한 뒤 핵 안보 정책과 무기 확산 등에 대해 문의했다고 밝혔다. 이 가짜 기자는 이메일을 통해 익명의 관계자에게 “북한의 핵실험으로 인해 일본이 국방비 예산을 증액할 것으로 보는가”라고 질문하면서 “5일 내로 답변해주면 좋겠다”고 했다.
북한 해커들은 또한 미국 일간지 뉴욕타임스(NYT)의 채용 담당자로 가장해 첨부 파일을 포함한 허위 이메일을 뿌린 사실도 드러났다고 맨디언트는 폭로했다. 이는 해커들이 자주 사용하는 ‘스피어 피싱’ 사기 수법이다. 특정 개인이나 회사의 정보를 훔치기 위해 가상의 기관이나 인물을 사칭하거나 악성 첨부파일이 포함된 이메일을 보낸 뒤 클릭하도록 유도해 불법적으로 정보를 빼간다.
맨디언트 부사장이자 글로벌 정보 책임자인 샌드라 조이스는 “이러한 그룹은 북한의 주요 정보기관인 ‘정찰총국’의 지시로 활동하고 있다고 확신한다”면서 “누구나 이들의 피해자가 될 수 있다”고 우려했다.
보안 전문가들은 이들 그룹이 개인식별 정보를 훔친 뒤 해당 데이터를 사용해 가짜 웹 계정을 만들고 도메인을 등록하는 데 숙련돼 있다고 분석했다. 또한 북한 해커들은 학자들에게 접촉해 대신 연구 논문을 써주면 수백 달러를 대가로 지급하겠다고 제안하기도 했다고 통신은 보도했다.
맨디언트는 ‘APT43’이 사이버 스파이 활동 성공률을 높이기 위해 미국 코넬대 홈페이지 등을 사칭해 합법적인 사이트처럼 보이도록 하는 웹 도메인을 등록해왔다고 밝혔다. 또한 해커들은 악성 앱을 사용해 암호화폐를 생성하고, 사용자 이름과 비밀번호를 갈취·도용해 핵 정책에 대한 국제 협상 관련 정보에 접근해 온 것으로 알려졌다.
이와 관련해 로이터 통신은 지난해 12월 보도에서 서방 전문가들의 견해를 인용해 “명의도용은 전 세계 해커들이 흔히 사용하는 방법이지만 북한의 경우 글로벌 제재와 코로나 팬데믹으로 인해 국제적 고립이 심화함에 따라 사이버 스파이 활동에 더욱 매진하고 있는 것으로 보인다”는 분석을 내놨다.
당시 미국 안보 분야 싱크탱크 ‘디펜스 프라이어리티스’의 연구원이자 외교 칼럼니스트인 다니엘 드페트리스는 로이터와의 인터뷰에서 “북한 해커에게 받은 이메일은 마치 한 연구원이 논문 초안에 대한 자료 제출 또는 의견을 묻는 것처럼 쓰여 있었다. 그들은 교묘하게 이메일 서신에 관련 싱크탱크 로고를 부착해 그들의 요구가 마치 합법적인 것처럼 보이게 했다”고 말했다.
드페트리스가 통신에 공개한 이메일에는 북한 핵 프로그램에 대한 원고를 검토하는데 300달러(약 40만 원)을 지급하겠다며 다른 연구원에게도 해당 검토를 추천해줄 것을 요구하고 있었다.
한편 주요 정책 정보 수집 외에도 북한 해커들의 글로벌 암호화폐 갈취 문제도 심각한 것으로 알려졌다. 미국 블록체인 분석 기업 체이널리시스에 따르면 지난해 북한 해커 그룹은 약 17억 달러(약 2조 2000억 원)에 달하는 가상화폐를 갈취한 것으로 추정된다.