북한 해킹조직이 이태원 참사를 악용한 사이버 공격을 벌였던 것으로 드러났다.
구글 위협분석그룹(TAG)은 7일(현지시간) 블로그에 지난 10월 말에 북한 해킹조직 ‘APT37’에서 한국 행정안전부의 공식문서로 위장한 워드파일에 악성코드를 심어 유포했다는 보고서를 올렸다. 이 워드파일의 제목은 ‘용산구 이태원 사고 대처상황- 2022.10.31(월) 06:00 현재’다.
이 워드파일은 중앙재난안전대책본부 보고서 양식을 모방해 만들었다. 사고 개요, 인명피해, 조치 상황 등을 자세하게 적어 실제로 중앙재난안전대책본부에서 작성한 보고서라고 믿을 수밖에 없을 정도다. 국민적 관심이 이태원 참사에 쏠려있는 상황에서 정부의 내부 보고서가 유포된 터라 집중적인 관심을 받을 수 있었다. 이 워드파일을 내려받으면 이용자들의 기기에 악성 소프트웨어가 설치된다.
TAG는 보고서에서 “이 워드파일은 2022년 10월 29일 서울 이태원에서 일어난 비극적인 사건을 언급하고 있다. 사고에 대한 대중의 관심을 미끼로 이용했다”고 비판했다.
APT37은 보안 취약점을 이용해 국내 대북단체와 국방 분야 관계자들을 공격해온 해킹조직으로 알려져 있다. 2019년 통일부 해명자료처럼 꾸민 이메일에 악성코드를 심어 배포하기도 했다.
전성필 기자 feel@kmib.co.kr