자료사진. 2019.03.29. © News1 DB

북한이 배후에 있는 것으로 추정되는 해킹 조직이 최근 암호화폐를 노린 대남 해킹 공격을 대대적으로 감행하고 있는 것으로 분석된다고 29일 이스트시큐리티 시큐리티대응센터(ESRC)가 밝혔다.

ESRC에 따르면 올 들어 암호화폐 자체를 노리거나 이와 관련된 개인정보 탈취를 목적으로 한 사이버 공격 및 변종 공격이 꾸준히 감지되고 있다. 또 이 같은 공격은 개인 차원이 아닌 '특정 정부의 후원을 받는 조직'에 의해 이뤄지고 있는 것으로 파악된다고 ESRC는 밝혔다.

ESRC가 밝힌 '특정 정부'는 북한일 가능성이 높아 보인다.

ESRC가 최근 감지된 공격을 분석한 결과를 보면 이 같은 정황을 엿볼 수 있다.이번 공격에 활용된 변종 코드 중 하나는 지난 24일에 생성됐으며 내부 익스포트 함수명이 'Covaware.dll'로 사용됐는데, 코드 내부에 '코바 2.0'이라는 한글 표현식을 포함하고 있다는 것이 ESRC의 분석 내용이다.

또 코드에 포함된 키워드 중에서도 '%s*코인* %s*지갑* %s*월렛* %s*개인* %s*이더* %s*비트* %s*비번*' 처럼 한글로 작성된 부분이 확인됐다.

ESRC는 이번 공격의 활용된 함수명을 역추적한 결과 2014년 8월 외교부와 관련된 내용으로 위장한 스피어 피싱 공격과 연결고리를 발견했다고 밝혔다.

2014년 공격 때 활용된 코드와 공격 과정에 대한 분석에서 한글로 된 특정 인물의 이름으로 추정할 수 있는 내용이 발견된 것이 특징이다.

당시 해커는 사이버 공격에 활용한 인도의 한 메일 계정 가입 과정에서 암호 분실 시 사용을 위한 보안 질문을 'I am North Korean(나는 북한 사람이다)'으로 설정한 것이 확인됐다.

이 인도 메일 계정의 비밀번호는 'wjsgurwls135'인데 이를 컴퓨터 자판에서 한글로 전환하면 '전혁진135'가 된다.

이 해커는 공격 과정에서 'jhj135'라는 문자열도 사용했는데 이 역시 '전혁진'이라는 이름을 영문으로 썼을 경우 이니셜에 해당한다는 것이 ESRC의 분석이다.

ESRC 관계자는 "구체적으로 밝히기는 어렵지만 여러 정황상 이 같은 부분은 해커가 위장을 노리고 남긴 표식으로 보기는 어렵다"라며 공격을 시도한 해커의 실제 이름이 '전혁진'일 가능성이 높다고 전했다.

그러면서 "이번 공격에는 특정 정부의 후원을 받는 조직에서 과거 국제·외교·통일·안보 라인을 공격했던 인물이 가담한 것으로 보인다"라고 설명해 특정 인사가 지속적으로 한국을 상대로 한 사이버 공격에 가담한 정황이 확인됐음을 시사했다.

북한의 해킹 조직의 특정 인사가 포착된 것은 전례가 없는 일은 아니다.

미국 법무부는 지난해 9월 영화사 소니픽처스와 방위산업업체인 록히드 마틴에 대한 해킹 혐의로 북한의 해커 박진혁을 기소하며 그의 신원을 공개하기도 했다.


seojiba3@