본문 바로가기

핵·인권단체 해킹 악명 ‘탈륨’···1년 추적 MS 결론은 “北 소행”

중앙일보 2020.01.02 06:00

'탈륨(Thallium)'의 정체는 무엇인가?

 
탈륨은 수은이나 카드뮴보다 독성이 강한 원자번호 81번의 원소다. 1800년대 중반 황산 공장에서 나오는 찌꺼기의 불꽃 스펙트럼에서 진한 초록색 선을 내는 원소로 처음 발견돼 그리스어로 '초록색 가지'를 의미하는 '탈로스( thallos)에서 이름을 따왔다. 하지만 인터넷상에서 탈륨은 2010년 초부터 핵, 화학, 전자, 항공, 우주, 자동차 등 광범위한 분야의 산업 스파이 활동을 일삼고 사이버 보안을 위협하는 최악의 해킹 조직으로 악명을 떨쳤다. 

MS, 북한해커 집단 '탈륨' 추적
법원 허가로, 도메인 50개 차단
한국과 미국 핵·인권 단체 공격
피싱메일 뿌린 뒤 개인정보 빼내

 
마이크로소프트

마이크로소프트

 

MS, 1년 넘게 추적 '탈륨'은 북한 해킹 조직 결론     

미국 마이크로소프트(MS)는 특히 자신들의 인터넷 계정을 도용하는 탈륨의 정체를 밝히기 위해 지난해 7월부터 최소 1년이 넘게 모니터링을 강화하며 추격전을 펼쳐왔다. 이를 토대로 MS는 '탈륨'을 2010년 초부터 활동한 북한의 해커팀(APT37)과 동일한 조직으로 보고 미 버지니아주 연방 법원에 지난달 18일 고소장을 제출했다. 어둠 속 탈륨의 정체가 드러난 것일까. 
 
MS는 고소장에서 탈륨의 운영자로 신원 미상인 두 명(John Doe 1,2)의 해커를 지목했다. 이들이 50여개의 도메인(인터넷 주소)을 운영하며 사용자 정보를 해킹했다는 것이다. 이에 버지니아주 법원은 즉각 50개 도메인에 대한 압수를 허가했다. MS측 변호인단은 "2명 해커의 정확한 신원이나 위치는 알려지지 않았지만, 이들이 보안 커뮤니티를 통해 북한과 긴밀히 연결돼 있다는 점을 확인했다"고 말했다. 
 

탈륨, 2010년 초부터 세계 핵·인권 단체 공격 

지난달 30일(현지시간) CNN 등에 따르면 MS의 톰 버트 보안 담당 부사장은 "탈륨은 공무원, 싱크탱크(연구소), 대학 교직원, 세계 인권 단체와 특히 핵확산 금지에 종사하는 단체나 개인을 목표로 공격해왔다"고 밝혔다. MS 측은 또 "탈륨은 북한의 해커 그룹 APT37과 동일한 조직"이라며 "최근 대부분의 목표는 미국과 일본, 한국을 기반으로 했다"고 덧붙였다. APT37은 2012년께부터 활동을 시작해 주로 한국의 공공 및 민간 부문을 대상으로 해킹 공격을 일삼았고, 2017년 후부터는 일본, 베트남, 중동 등으로 공격 범위를 넓힌 것으로 알려진 북한의 해킹 조직이다. 
 
마이크로소프트를 사칭해 탈륨이 사용자에게 보낸 메일. 'm'을 교묘하게 'r'과 'n'으로 바꾼 것을 확인할 수 있다. [사진 마이크로소프트]

마이크로소프트를 사칭해 탈륨이 사용자에게 보낸 메일. 'm'을 교묘하게 'r'과 'n'으로 바꾼 것을 확인할 수 있다. [사진 마이크로소프트]

 

탈륨, MS 안내 메일로 위장해 개인 PC에 침투  

탈륨은 MS 계정으로 위장한 이메일을 통해 개인 정보를 훔치거나 산업 스파이 활동을 벌여왔다. MS의 계정담당 부서에서 보낸 것처럼 위장한 안내 메일을 통해 수신자가 메일을 열어보는 순간 사용 중인 인터넷 계정(아이디와 비밀번호)을 빼내는 스피어 피싱 방식을 통해서다. 깨알 같은 영문 발신자 이메일 주소를 철자 하나하나 따져보지 않는 수신자의 허점을 노렸다. 탈륨이 보내는 메일을 자세히 살펴보면 회사명인 마이크로소프트의 ‘m’이 소문자 알(r)과 엔(n)의 결합으로 교묘하게 바뀌어 있는 점을 확인할 수 있다. 
 
탈륨이 정보를 빼내는 과정은 이렇다. 사용자가 피싱메일을 열면 본인 인증을 위한 링크가 나타난다. 링크를 누르면 공식사이트처럼 위장된 탈륨의 가짜 도메인으로 이동한다. 여기에 사용자가 로그인을 위해 아이디와 비밀번호를 입력하는 순간 주고 받은 메일은 물론 연락처 목록과 일정 등 민감한 개인정보 정보가 탈륨으로 통째로 넘어가게 된다. 
  
탈륨의 악성 소프트웨어 유포 방식 [이미지 팔로알토 네트웍스]

탈륨의 악성 소프트웨어 유포 방식 [이미지 팔로알토 네트웍스]

 

탈륨, 개인정보 훔치고 PC 침투해 시스템도 파괴   

개인정보만 빼낸 것이 아니다. 트로이목마 같은 악성코드(멀웨어)를 사용자 컴퓨터에 심어 시스템을 손상시키고 데이터를 도용하기도 한 것으로 나타났다. ‘아기상어’(BabyShark), ‘김정랫’(KimJongRAT)과 같은 악성 소프트웨어가 사용됐다. 

 
실제로 지난 7월엔 APT37이 자유한국당 의원실에 집중적으로 피싱메일을 뿌린 정황이 발각되기도 했다. 당내 정책연구기관인 여의도연구원이 작성한 문서처럼 꾸며서 소속 의원들에게 보낸 것이다. 문서를 실행한 컴퓨터는 바이러스에 감염되고 정보가 빠져나간다.  
 
사이버 보안업체 파이어아이의 존 헐트퀴스트 수석분석가는 지난 10월 미국 워싱턴에서 열린 ‘파이어아이 사이버 디펜스 서밋 2019’에서 “대북 제재로 북한의 사이버 공격이 늘고 있다”면서 “해킹조직 ‘APT37’은 한층 진화한 변종 악성 코드를 유포하고 있다”고 분석했다. 
  

APT37이 여의도연구원을 사칭해 보낸 이메일의 첨부파일 [사진 이스트시큐리티]

APT37이 여의도연구원을 사칭해 보낸 이메일의 첨부파일 [사진 이스트시큐리티]

 
미국 언론들은 MS가 외국 정부가 지원하는 해킹 그룹의 정체를 파악하고 운영을 방해하기 위해 미 법원의 압수 명령을 사용한 게 이번이 처음은 아니라고 보도했다. 지난해에는 '스트론튬 (APT28)'으로 알려진 러시아의 해킹그룹을 차단했고, '포스포러스(APT35)'로 알려진 이란의 해킹그룹, '바륨'이란 이름의 중국 정부 지원 해킹그룹의 운영을 중단시킨 바 있다는 것이다. 하지만 네트워크망으로 연결된 컴퓨터 저 편에 있는 숨어있는 해커를 찾아내는 데는 모두 실패했다. MS가 이번에는 탈륨의 운영자로 지목한 신원 미상의 두 명(John Doe 1,2)을 어둠 속에서 끄집어낼 수 있을까.      
 
장주영 기자 jang.jooyoung@joongang.co.kr
공유하기
광고 닫기