[디지털데일리 이종현기자] 국가정보원(이하 국정원이) 독일 정보기관인 연방헌법보호청(BfV)과 합동으로 북한 해커그룹의 공격에 대한 위험성을 알리고 이를 예방하기 위한 사이버보안 권고문을 20일 발표했다.
국정원은 김수키가 ‘탈륨’, ‘벨벳’, ‘천리마’ 등으로도 불리는 조직이라고 밝혔다. 해당 조직은 2014년 한국수력원자원을 공격한 곳으로 알려졌다. 작년에는 태영호 의원(국민의힘)실을 사칭해 국내 외교안보 전문가의 이메일을 해킹하는 등 10년 이상 활동을 이어오고 있는 곳이다.
양 기관은 최근 사이버공격이 사용자가 많은 구글 서비스를 악용하는 등 기존 해킹 수법보다 더 교묘해지고 있다고 꼬집었다.
크게 2개 공격 유형을 주로 활용하는 것으로 파악됐는데, 구글의 웹브라우저 ‘크롬’의 기반이 되는 ‘크로미움 브라우저’ 확장 프로그램을 악용한 구글 메일 절취가 그 첫번째다. 해커가 악성 링크가 포함된 이메일을 피해자에게 발송하면 크로미움 브라우저에서 작동하는 악성 확장 프로그램 설치를 유도한다. 피해자가 이 프로그램을 설치하면 해커는 별도 로그인 없이 피해자 이메일 내용을 실시간으로 절취할 수 있다.
‘구글 플레이’ 동기화 기능을 악용해 스마트폰에 악성 애플리케이션(앱)을 설치하는 방법 역시 발견됐다. 해커가 사전에 피싱메일 등을 통해 절취한 피해자 구글 계정으로 PC에서 로그인하면 별도 조작 없이 스마트폰에 악성 앱이 설치돼 피해자 스마트폰의 자료가 탈취되는 방식이다.
국정원은 “북한 정찰총국과 연계된 김수키의 최근 공격이 대부분 스피어피싱을 통해 이뤄지고 있다. 사용자가 직접 악성 이메일 판별 방법을 배우고 의심스러운 이메일 수신시 유의사항을 준수해야 한다”고 말했다.
이날 양국 정보기관이 공동 발표한 권고문은 지난 2월 한국과 미국의 합동 사이버보안 권고문에 이어 국정원이 해외 정보기관과 발표하는 두 번째 합동 사이버보안 권고문이다. 한-독 양국 기관은 국가배후 해킹조직의 공격 수법이 계속 진화하는 중이고 이에 대응하려면 국제공조가 필수라고 합동 건고문 발표 배경을 설명했다.
국정원 백종운 3차장은 “북한의 신종 해킹 활동에 대한 경각심을 갖고 일상생활에서 각별한 주의를 기울일 것을 당부한다”며 “국정원은 우리 대한민국은 물론 전 세계가 안전한 사이버공간을 이용할 수 있도록 세계 각국과 보안 권고문을 지속 발표할 것”이라고 말했다.