美, 北해커조직 ‘김수키’ 사이버보안 주의보…“美정부·학계 이메일피싱”

미 국무부와 연방수사국(FBI), 국가안보국(NSA)은 2일(현지시간) 북한 해킹조직인 ‘김수키(Kimsuky)’가 실제 언론인, 학자, 동아시아 전문가로 위장해 스피어피싱에 나서고 있다며 공동으로 사이버보안 주의보를 발령했다. 사진은 보도자료 캡처.

미국 정부가 북한과 연계된 해커들이 미국의 대북 정책 등에 대한 정보 수집을 위해 언론이나 학계, 싱크탱크 관계자를 사칭한 이메일을 발송하고 있어 주의가 필요하다고 당부하고 나섰다.

미 국무부와 연방수사국(FBI), 국가안보국(NSA)은 2일(현지시간) 북한 해킹조직인 ‘김수키(Kimsuky)’가 실제 언론인, 학자, 동아시아 전문가로 위장해 스피어피싱에 나서고 있다며 공동으로 사이버보안 주의보를 발령했다.

미국 정부는 김수키가 미국 정부 당국자와 싱크탱크 관계자, 기자 등의 이메일과 문서, 기기를 해킹해 지정학적 사건이나 외교정책 전략 등 북한 관련 정보를 수집하려고 한다고 설명했다.

이들은 “북한은 목표물의 개인 문서, 연구, 대화에 불법 접근해 지정학적 행사나 적국의 외교정책 전략, 북한의 이해관계에 영향을 미치는 사안 등 정보를 수집하기 위해 이러한 스피어피싱을 활용하고 있다”고 경고했다.

김수키는 북한 정찰총국 산하 해킹조직이다. 미 재무부는 지난해 12월 김수키를 제재 대상에 추가한 바 있다.

미국 정부는 북한 해커들은 싱크탱크나 고등교육기관 등 저명한 단체의 개인을 사칭해 목표물의 신뢰를 얻고 친밀감을 형성하는 방식을 이용하고 있다고 밝혔다.

미국 정부가 공개한 사례에 따르면, 북한 해커들은 2023년 후반부터 2024년 초까지 미국 정부와 국제기구 관계자들에게 ‘미국의 대북 정책’을 주제로 열리는 싱크탱크 행사에 기조연설자로 초대한다는 이메일을 발송했다.

이메일엔 기조연설에 응할 경우 여행 및 숙박 경비를 부담하고 500달러의 연설 비용을 주겠다는 내용이 포함됐다. 직접 참석이 어려울 경우 원격 참석도 가능하다고 안내했다.

또 다른 사례에선 기존 언론사 기자를 사칭하며 미국의 대북 정책과 관련한 코멘트를 요청했다.

이같은 이메일은 합법적인 도메인을 통해 발신된 것처럼 보이지만, 이메일 보안 표준인 DMARC를 악용한 사기 계정에서 발송된 것이라고 미국 정부는 설명했다.

이에 미국 정부는 초기 이메일에 첨부파일이 없더라도 △이어진 접촉에서 악의적인 파일이 첨부되는 경우 △어색한 영어 문장 및 문법을 사용하는 경우 △공식 기관 명칭이나 이메일 주소와 철자가 미묘하게 틀린 경우 등에 주의해야 한다고 당부했다.

(워싱턴=뉴스1)