특정인물 겨냥한 ‘스피어 피싱’ 수법… 北, 탈북자단체 대표 PC 해킹한 듯

탈북자단체 대표가 북한 소행으로 추정되는 ‘스피어 피싱’ 수법의 해킹 공격을 당해 경찰이 수사를 벌이고 있다. 탈북자들의 대북 활동 등 민감한 정보가 북한에 넘어간 것으로 추정돼 2차 피해가 우려된다. 해킹당한 이는 북한 해커양성소로 유명한 미림대학 출신 인터넷 보안 전문가로 알려졌다.

경찰청 보안국은 11일 “탈북자단체인 겨레얼통일연대 장세율 대표가 4월 26일, 5월 1일, 11월 27일 등 세 차례 스피어 피싱 공격을 받았다”고 밝혔다. 스피어 피싱(spear fishing)이란 ‘작살(spear)’처럼 특정인을 겨냥해 PC 등에서 정보를 빼내는 고급 해킹 수법이다. 지인이 보낸 것처럼 꾸민 이메일에 악성코드를 심는 방식 등이 사용된다.

장 대표가 받은 이메일은 국방대 한모 교수, 국민대 정치대학원 박모 교수, 안전행정부 명의로 돼 있었다. 첨부된 파일에도 활발한 대북 활동을 벌이는 장 대표의 업무와 관련돼 보이도록 ‘연구과제양식.hwp’ 등의 이름을 붙였다. 특히 한글파일임을 뜻하는 ‘hwp’ 확장자로 위장했지만 특정사이트로 바로 연결되는 확장자 ‘hwp.lnk’가 숨겨져 있었다. 장 대표가 이 첨부파일을 실행하는 순간 PC에 저장돼 있던 자료들이 외국 서버로 전송되면서 동시에 PC에선 삭제됐다. 수법이 교묘해 인터넷 보안 전문가인 장 대표도 11월에 세 번째 공격을 받고서야 해킹당한 사실을 알아차렸다.

경찰청 관계자는 “중국 소재 IP가 이용됐고 탈북자단체를 공격했으며 한글파일을 세부적으로 알고 있는 점으로 미뤄 북한 해커 소행으로 보고 있다”면서 “탈북자단체 정보를 수집하려는 목적으로 추정된다”고 설명했다. 또한 “대북 활동을 펴는 장 대표와 탈북자단체들에게 경고 메시지를 보낸 것일 수도 있다”고 덧붙였다.

문제는 유출된 자료의 민감성이다. 북한은 김정은 국방위원회 제1위원장 집권 후 체제 보위 차원에서 탈북자에 대한 위협을 강화하고 있다. 이번에 해커가 빼간 정보는 장 대표가 작성한 각종 문서와 로그 기록 등 1200여건으로 파악됐다. 주로 파일명에 ‘북한’이 들어간 자료였으며, 장 대표의 개인 신상 정보도 포함된 것으로 알려졌다.

다만 겨레얼통일연대는 회원 명부를 별도로 관리해 이번 해킹으로 유출되지 않았다고 주장했다. 장 대표는 “북한은 이미 탈북자 신상정보를 상세히 파악하고 있다. 이번 해킹으로 새롭게 리스트가 흘러간 것 같지는 않다”고 말했다. 그러나 장 대표 PC가 감염된 뒤 USB를 통해 다른 PC들도 감염된 것으로 알려져 피해 규모를 가늠하기 어려운 상황이다. 경찰은 다른 탈북자단체들을 대상으로 유사 피해가 있는지 조사하고 있다.

이도경 기자 yido@kmib.co.kr