[월드투데이 이예찬 기자] 해킹 강국이라고 불리는 북한이 오히려 해킹 공격을 당해 국가 전체가 마비된 것으로 알려졌다.

29일 미국 자유아시아방송(RFA)에 따르면 미국 사이버 보안업체 멀웨어바이트는 라자루스가 최근 미국 군수업체 록히드마틴을 사칭해 취업을 제안하는 이메일을 발송하는 형태로 스피어 피싱 공격을 시도했다고 전했다.

라자루스 그룹(Lazarus Group)은 북한 정찰총국의 해커 부대로 추정되며 예전에는 히든 코브라(Hidden Cobra)라고 불렸다. 지난 2014년 북한 체제를 조롱하는 영화를 제작한 미국 소니픽처스를 해킹한 의혹으로 국제사회에 알려졌으며 현재 미국과 유엔의 제재 명단에 포함되어 있다.

스피어 피싱이란 특정 개인이나 단체를 겨냥한 사이버 피싱으로 라자루스의 이메일은 '록히드마틴 취업 기회', '록히드마틴 연봉'등의 제목으로 해당 회사에 취업을 원하는 사람들을 대상으로 발송되었다.

멀웨어바이트는 과거에도 라자루스가 유명 군수업체들의 로고를 정교하게 위조해 스피어 피싱 공격을 시도한 사례가 있다고 전했다. 하지만 이번 공격으로 발생한 피해 사례에 대해서는 구체적으로 언급하지 않았다.

지난 26일 한국의 보안업체인 이스트시큐리티는 국제 행사의 동시통역을 의뢰하는 내용을 가장한 해킹 메일이 발견되었다고 밝혔다. 영어, 중국어, 러시아어에 능통한 통역사들이 위협 대상에 대거 포함됐다고 전했다.

실제 공격에 쓰인 이메일을 살펴보면, 영어·중국어·러시아어 등 통역 언어에 따라 본문 내용과 첨부파일 표현이 조금씩 다르다. 공격자는 행사 참여 가능 여부와 함께 어느 부분의 통역을 맡아줄 수 있는지 물으며 자연스럽게 첨부 파일을 열어보도록 유도했다.

이스트시큐리티는 이번 공격을 북한 해커 조직의 소행으로 추정했다. 지난해 12월 블록체인협회를 사칭한 해킹 메일 등과 공격자의 해외 거점(서버) 주소가 일치한다는 이유다. 북한 해커 조직이 사용해온 매크로 코드와 감염 수법이 100% 동일하며, 과거부터 꾸준히 써온 고유 아이디도 발견됐다는 설명이다.

이 보안업체는 위험이 확산되지 않도록 한국인터넷진흥원(KISA) 등 관계 당국에 위협 정보를 공유했다. 현재 공격 의도를 규명하기 위해 다각적으로 분석을 진행 중이다.

지난 26일 로이터 통신은 영국의 인터넷 보안 연구원 주나드 알리를 인용해 북한에 서비스 거부(디도스·DDoS)로 추정되는 공격이 발생했다고 전했다.

알리 연구원은 사이버 공격이 진행되는 동안 한때 북한을 드나드는 모든 트래픽이 다운되기도 했다면서 이후에도 일부 접속 장애와 지연이 이어졌다고 설명했다.

오전부터 약 6시간가량 디도스 공격이 이루어졌고 이후 이메일을 다루는 서버는 복구되었지만 나머지 기관 사이트들은 접속 장애가 회복되지 않았다고 덧붙였다.

이어 공격받은 다음 날인 27일 오전 7시에도 북한 노동당 기관지 노동 신문과 조선 중앙 통신, 외무성, 고려항공, 내각 기관지 민주조선 등의 사이트들은 전날과 마찬가지로 접속 장애가 발생했다.

일부 사이트는 잠시 접속이 되기도 했지만 이내 끊어지거나 대기 시간이 길어 잘 열리지 않고 있다. 이런 현상을 놓고 북한에 대한 사이버 공격으로 인한 피해가 완전히 복구되지 않았기 때문이라는 의견이 많다.

각국 정부와 기업, 가상화폐 거래소 등을 가리지 않고 뛰어난 해킹 실력으로 해킹 공격을 가하는 북한이 정작 자신들이 당한 공격에 대한 피해 복구에는 느리게 대처하고 있다.