북한 연계 사이버 범죄 조직 ‘탈륨(Thallium)’이 언론사 이름을 딴 인터넷 도메인 주소를 개설한 사실이 미 법원 문건을 통해 확인됐습니다.
미국 버지니아 동부 연방법원에 지난 9일 제출된 보고서에 따르면 북한 연계 해커인 ‘탈륨’ 혹은 ‘에메랄드 슬릿’의 활동을 추적하는 ‘법원 보고관(Court Monitor)’은 5월 10일부터 최근 사이 어느 한 시점, 북한 해커가 3개의 인터넷 도메인 주소를 새롭게 개설한 사실을 확인했습니다.
이들 도메인은 미국 ‘VOA’ 방송의 웹사이트 주소와 유사한 ‘VOANEWS닷ME’와 일본 ‘교도통신’을 사칭한 것으로 보이는 ‘KYODONEWS닷US’ 그리고 중국의 온라인 쇼핑몰 업체의 이름을 딴 ‘TEMUCO닷XYZ’ 등 3개입니다.
앞서 미국의 마이크로소프트는 2019년 12월 자사를 사칭한 웹사이트를 개설해 ‘민감한 정보’를 탈취한 혐의로 북한 연계 해킹 그룹 ‘탈륨’에서 활동하는 익명의 인물 2명을 상대로 민사 소송을 제기해 승소했습니다.
당시 소송은 일반적인 민사 소송과 달리 이들의 활동을 중단시킬 수 있는 ‘영구금지명령’을 받기 위한 것으로, 이에 따라 재판부는 탈륨의 도메인뿐 아니라 이후 드러나게 될 새로운 도메인에 대해서도 금지 명령을 내릴 수 있도록 했습니다.
또한 법원이 임명한 ‘법원 보고관’이 매 120일마다 탈륨의 행위를 확인해 이를 재판부에 보고하도록 했습니다.
이번에 공개된 보고서는 당시 판결 이후 8번째로 나온 것입니다.
법원 보고관은 이번 문건에서 “지난 5월 10일 법원 보고관 보고서 7번 문건을 제출한 이후 시점 피고는 이들 인터넷 도메인 주소를 등록하거나 사용했다”고 밝혔습니다.
이어 “이들 도메인은 피고의 통제에서 벗어나도록 하는 ‘금지 명령’의 대상”이라며 이들 3개 도메인에 조치를 취한 사실을 확인했습니다.
최근 마이크로소프트는 전 세계 해커 집단에 대한 이름 명명 체계를 변경했습니다.
이에 따라 북한 연계 해커에는 진눈깨비를 뜻하는 ‘슬릿(Sleet)’이라는 이름이 공통으로 붙었습니다. ‘탈륨’은 ‘에메랄드’가 추가된 ‘에메랄드 슬릿’으로 불리고 있습니다.
따라서 이번 법원 보고관의 문건에는 기존 이름과 별도로 ‘에메랄드 슬릿’이라는 새 이름이 함께 명시됐습니다.