RFA “통일부 기자단 대상 해킹 공격, 20여대 감염 신호”

사이버 보안 전문가들과 공동 분석한 결과 보도
“지메일 계정과 네덜란드 서버 이용…北 추정”

© News1 DB

통일부 기자단에 대한 해킹 시도와 관련, 이 해커의 공격으로 최소 20여대의 컴퓨터가 피해를 본 것으로 보인다고 미국 자유아시아방송(RFA)이 보도했다.

RFA는 7일(현지시간) 문제의 해커가 통일부 기자단 77명에게 보낸 이메일을 사이버 보안 전문가들과 공동 분석한 결과 해킹이 지메일(gmail) 계정과 해외 6개국에 본부를 둔 웹호스팅 서버 업체인 호스팅어(Hostinger) 서버를 통해 이뤄진 것으로 확인됐다고 밝혔다.

RFA는 “해커가 운영 중인 공격용 서버에는 7일 현재 29개 컴퓨터의 감염 신호가 잡힌다”며 “보안 분석가들의 감염 신호도 잡혔을 수도 있지만 최소 20여대의 컴퓨터가 북한 관련 추정 해커의 공격을 당한 것으로 분석된다”고 밝혔다.

RFA는 해커는 악성코드가 담긴 파일을 메일에 첨부했는데 수신자가 파일을 실행하면 해커가 만든 구글 드라이브로 접속하게 돼 개인정보가 유출된다고 설명했다.

이어 “사이버 전문가들과 함께 공격자의 서버를 분석하는 동안에도 북한 추정 해커가 감염시킨 컴퓨터에서 사용자가 키보드로 입력하는 비밀번호를 가로채는 키로깅(Key logging)과 화면캡쳐, 아이피 주소 수집 등 정보 수집활동을 계속하고 있었다”고 밝혔다.

RFA는 공격용 서버에 추가로 남긴 파일에서 ‘용량이 2메가 안넘음’이라는 한글로 작성된 흔적이 발견됐다며 공격을 감행한 해커는 한글을 구사한다고 밝혔다. 또 “이번 공격은 지난해 5월 발생했던 ‘판문점 선언 관련 내용’ 해킹 공격사건과 유사한 수법을 사용했다”고 지적했다.

RFA “이번 사건에 이용된 서버는 네덜란드에 위치한 것으로 나타났다”며 “추적을 어렵게 하기 위해 자국에 위치한 서버 대신 웹호스팅 업체의 서버를 이용한 것으로 추정된다”고 밝혔다.

앞서 7일 오전 1시쯤 통일부 등록 기자단에게 ‘TF 참고’라는 이름의 파일을 첨부한 메일이 전체 발송됐다. HWP(아래아한글) 형식의 첨부파일에는 악성코드가 심어진 것으로 확인됐다.

(서울=뉴스1)