실시간
뉴스

보안

北소행 사이버 공격은 티가 난다…'북한식 표현' 살펴보니

사이버 공격 이미지 [ⓒ픽사베이]
사이버 공격 이미지 [ⓒ픽사베이]

[디지털데일리 김보민기자] 올 초 국가인권위원회와 경찰청을 사칭한 사이버 공격이 북한 소행일 수 있다는 정황이 발견됐다. 공격자가 보낸 피싱 메일에 '인차'와 '태공' 등 북한식 표현이 활용되면서, 사실상 흔적을 남긴 것이 아니냐는 분석이다.

4일 지니언스시큐리티센터(GSC)는 '경찰청과 국가인권위를 사칭한 코니(Konni)APT 캠페인 분석' 보고서를 통해 이 같은 내용을 밝혔다. 코니 캠페인은 북한 김수키 조직과 직·간접 연계 가능성이 있는 것으로 알려졌다.

국가인권위원회는 올 1월 공지문을 통해 "최근 인권위 직원을 사칭해 진정사건 관련 자료 제출 등을 요구하는 사건이 발생하고 있어 각별한 주의가 필요하다"며 "이메일은 인권위 조사국 직원을 사칭하고, 인권위 로고와 이메일 도메인을 위조하고 있어 실제 공식 이메일과 쉽게 구분하기 어렵다"고 말했다.

당시 국가인권위원회가 공개한 사칭 이메일 내용을 살펴보면 공격자는 인권위에 이메일 수신자를 피진정인으로 하는 진정사건이 접수됐고, 이메일 수신자 행위는 인권침해에 해당해 피해자에 대한 사과와 재발 방지 조치 등을 받아야 한다는 내용이 담겼다. 해당 경고를 무시할 경우, 형사 고발과 같은 법적 조치가 가해질 수 있어 의견서를 제출하라는 내용도 포함됐다.

하단에는 '인권침해 및 차별행위 조사구제 규칙'과 '사건 관련 목격자 진술서' 등 파일이 첨부돼 있었다. 공격자는 본인이 인권침해조사과 조사관이라고 밝히며, '통화량이 많을 것으로 예상되오니, 문의사항은 가급적 이메일로 보내달라'는 요청사항도 덧붙였다.

유사 공격은 경찰청 사칭 메일에서도 발견됐다. 공격자는 경찰청 사이버범죄수사과에 근무하고 있는 수사관이라고 본인을 소개하며, 해킹 사건에서 메일 계정 정보가 침해당한 사실이 확인돼 보안 조치 사항을 안내한다고 밝혔다. 악성파일이나 링크를 보내지 않았지만, 수신자 불안심리를 자극해 회신을 유도하는 방식을 택했다.

북한어 흔적 [ⓒ지니언스시큐리티센터]
북한어 흔적 [ⓒ지니언스시큐리티센터]

해당 메일에서는 북한식 표현이 다수 발견됐다. 메일에는 '2월23일 11시경, 귀하 계정에서 다량 스팸메일이 발송됐다. 발송된 메일에서 악성코드가 발견됐으며, 수취인들 속에서 스팸 신고가 제기됐다. 귀하의 계정에서 악성메일 발송 이력이 있는가 확인해주시고, 결과를 빨리 알려주시기 바란다. 내일 오전까지 확인 결과를 알리지 않으면 이는 사건에 대한 태공 및 수사 방해죄로 형사법적 처벌을 받을 수 있다'는 내용이 담겼다. 이외에도 '진단 툴(tool)을 인차 다시 보내드린다, 메일을 받으면 회신 부탁드린다'는 내용이 있었다.

'태공'은 일을 게을리한다는 '태업'을 뜻하는 북한어다. 조선말대사전에 따르면, 맡은 일을 수행하지 않거나 열의를 내지 않고 태만을 부린다는 의미를 담고 있다. '인차' 또한 북한식 표현으로 '곧', '즉시'를 의미한다. GSC는 "위협 행위자는 모국어 노출을 최소화하기 위해 학습과 주의를 기울이지만, 평소 자주 쓰는 언어적 습관이 그대로 표출되기도 한다"며 "중요한 단서가 될 수 있다"고 말했다.

한편 북한 배후 조직의 스피어피싱 공격이 고도화되고 있어 주의가 필요한 시점이다. 스피어피싱은 특정 공격 대상 정보를 사전에 입수해 맞춤형 사기 메시지를 보내는 기법으로, 코니 캠페인의 경우 대북 분야와 가상자산 거래 관계자들을 겨냥한다는 특징이 있다.

디지털데일리 네이버 메인추가
x