미국 싱크탱크 헤리티지재단 브루스 클링너 선임연구원은 영국 리즈대 명예 선임연구원 에이단 포스터-카터로부터 제이미 퀑 카네기국제평화재단 핵정책 프로그램 펠로의 논문을 검토해줄 수 있느냐는 메일을 받았다. 세 명 모두 오랫동안 대북 이슈를 다뤄 온 한반도 전문가다.
클링너 선임연구원은 흔쾌히 동의했고, 이후 퀑 펠로와 논문에 대해 이메일을 주고받기 시작했다. 그러던 중 수상한 링크가 포함된 이메일이 도착했고, 그는 이를 IT 팀에 전달했다. 해당 이메일은 멀웨어였다. 포스터-카터나 퀑 모두 클링너 선임연구원에게 연락한 적이 없었다고 한다. 전체 과정이 사기였던 셈이다.
클링너 선임연구원은 전문가나 정부 관계자, 언론인을 사칭한 이른바 ‘피싱’ 시도를 6건 이상 경험한 것으로 알려졌다.
클링너 선임연구원은 “해커들이 북한 관련 정책에 대한 통찰력을 얻기 위해 싱크탱크 소속으로 속이며 보고서를 의뢰하는 방식으로 대북 전문가들과 친분을 쌓는다”고 워싱턴포스트(WP)에 말했다.
미국 사이버 보안 기업 맨디언트는 28일(현지시간) ‘APT43’으로 알려진 북한의 사이버 스파이 그룹이 전문가나 언론사 기자 등으로 위장한 뒤 미국과 한국의 정부 기관과 학계, 싱크탱크 등에 접근, 핵 안보 정책 등 전략적 정보 수집을 시도해 왔다고 밝혔다.
맨디언트에 따르면 APT43 소속의 한 해커는 ‘미국의소리’(VOA) 방송 기자로 가장해 관련 주제 전문가들에게 접근, 핵 안보 정책과 무기 확산 등에 대해 문의했다. 이 해커는 지난해 10월 4일 북한이 일본 열도를 넘어 태평양 해상까지 도달한 중거리탄도미사일(IRBM)을 발사한 직후 한 대북 전문가에게 “북한이 일본에 미사일을 발사한 건 2017년이 마지막이었다. 갈등을 고조시키려는 의도를 봤을 때 북한이 곧 핵실험을 할 것인가” “일본은 국방예산을 증액하고 선제적 방위 정책을 펼 것인가” 등의 질문을 보냈고, “5일 내로 답장을 주면 좋겠다”고 재촉하기도 했다.
북한 해커는 뉴욕타임스(NYT) 채용 담당자인 것처럼 속여 허위 이메일을 관련자들에게 보내기도 했다.
맨디언트는 “2018년부터 이 그룹을 추적해 왔다. APT43의 우선순위는 북한의 정찰총국 임무와 일치한다”며 “한국과 일본, 유럽, 미국에 초점을 맞추고 있고, 특히 핵 정책에 중점을 둔 싱크탱크나 정부, 비즈니스 서비스 부문”이라고 설명했다.
맨디언트에 따르면 APT43은 북한에 영향을 미치는 국제 협상과 제재에 대한 통찰력을 가진 한국, 일본, 미국 전문가를 스파이 대상으로 삼았다. 외교 및 국방 분야 핵심 인물로 가장했고, 신뢰도를 높이기 위해 훔친 개인 식별 정보를 활용한 계정이나 도메인을 등록하기도 했다. 친분 관계를 쌓은 뒤 상호 신뢰를 바탕으로 정보를 얻는 이른바 ‘사회공학’ 전술도 활용했다.
APT43 소속 해커는 핵 안보 정책이나 비확산 정책에 초점을 맞춘 미국과 한국의 학계와 싱크탱크 연구에 특히 관심이 많았다고 한다. 맨디언트는 “APT43이 2020년 10월 이전에는 주로 한국과 미국의 한반도 외교·안보 정책 이해관계자를 표적으로 삼았다”고 지적했다.
2020년 10월부터 1년간은 보건 관련 업종과 제약 회사를 표적으로 삼았는데, 이는 북한의 코로나19 대응 노력을 지원하기 위한 것일 수 있다고 맨디언트는 설명했다. 이 기간에도 한국과 미국 등을 대상으로 한 스파이 활동은 계속됐다.
APT43은 지난해 대선 과정에서는 한국 정치를 표적으로 삼고, 대선 결과에 따른 정책 변화에 대한 통찰력을 얻으려는 시도도 했다고 맨디언트는 전했다.
맨디언트의 해외정보 책임자인 샌드라 조이스는 이 해킹 그룹이 북한의 정보기관인 정찰총국 소속이라고 확신한다며 “누구나 피해자가 될 수 있다”고 말했다.
워싱턴=전웅빈 특파원 imung@kmib.co.kr
