북한 연계 해커단체로 추정되는 조직이 정부 산하 공공채널을 사칭해 대북 전문가들에게 악성 문서를 유포하고 있는 것으로 나타났다.

보안기업 이스트시큐리티는 문화체육관광부 산하 한국정책방송원(KTV)의 유튜브 방송 출연 섭외로 위장한 악성 한글 문서파일(HWP)이 최근 발견됐다고 23일 밝혔다.

공격자는 문서에 실제 프로그램 이름과 진행자 소개를 그대로 담았다. 또 오는 24일 ‘윤석열 정부 남북정책·북한 코로나 지원·남북대화 방향’을 주제로 한 유튜브 방송에 출연이 가능한지 묻는 내용도 포함시켰다.

해커 조직은 문서에 악성 개체 연결(OLE) 파일을 넣고 ‘상위 버전에서 작성한 문서입니다’라는 가짜 메시지 창을 띄워 클릭을 유도했다. 실제로 메일 수신자가 해당 버튼을 누르면 공격자는 C2 서버 주소를 통해 통신을 시도했다.

이번 공격은 북한 연계 해킹 조직인 ‘금성 121’와 관련이 있다고 분석됐다. 러시아 정보기술(IT) 기업인 얀덱스의 이메일을 사용하고 해외 클라우드 서비스에 개인정보를 보관한다는 점에서다.

문종현 이스트시큐리티 이사는 “새 정부출범 이후에도 북한 소행으로 판단되는 사이버 안보위협은 멈출 기미가 보이지 않고, 해킹 대상자를 현혹하기 위한 보다 세련된 방식의 접근 수법도 진화를 거듭하고 있다”며 “특히, 민간분야를 대상으로 한 북한 연계 사이버 위협이 날이 갈수록 고조되고 있어 민관합동 공조 강화가 무엇보다 중요하다”고 말했다.

(서울=뉴스1)