[아이뉴스24 김국배 기자] 개성 남북연락사무소를 폭파한 북한이 잇따라 군사 도발을 예고하면서 사이버 공간에서의 긴장감도 높아지고 있다.
이런 시기에 북한과 연계된 것으로 추정되는 해커 조직이 청와대를 사칭한 악성 파일을 유포한 정황이 포착되자 사이버 테러가 현실화될 수 있다는 우려가 나온다.
과거에도 북한은 핵실험과 미사일 발사 등 도발 후 사이버 공격을 감행한 전력이 있는 데다 6·25 전쟁 70주년을 목전에 뒀다는 시점도 불안감을 증폭시키고 있다.
21일 국내 보안업체 이스트시큐리티에 따르면 지난 16일 남북연락사무소가 폭파된 지 3일 후인 19일 새벽 청와대 보안 이메일을 사칭해 유포된 악성 파일이 다수 발견됐다.
이 악성 파일 이름은 'bmail-security-check.wsf'로, 파일명에서 알 수 있듯 청와대(Blue House) 보안 메일 체크 프로그램으로 위장했다. 실행 시 '보안메일 현시에 안전합니다'라는 문구가 뜬다. 공격자의 명령제어(C2) 서버 일부 주소는 청와대 사이트와 연결된다.
문종현 이스트시큐리티 이사는 "이 파일은 청와대 관련자를 대상으로 지능형 지속위협(APT) 공격을 수행할 목적을 갖고 제작된 것으로 추정된다"고 말했다.
이번 공격이 지난해 12월 발견된 청와대 상춘재 행사 견적서를 사칭, 공격 등을 감행한 북한 해커 조직 '김수키'의 공격과 유사성이 매우 높은 것으로 분석된 것. 김수키는 2014년 한국수력원자력 등을 해킹한 것으로 잘 알려져 있는 조직이다.
문 이사는 "메시지창에 뜨는 '현시'와 같은 표현은 국내에서 흔히 쓰이는 표현은 아니기 때문에 악성 파일이 내국인에 의해 제작된 것은 아닐 것"이라고 추측했다.
북한의 사이버 공격은 남북 평화 무드에서도 이어져왔다는 게 국내외 보안업계 얘기다. 국제사회의 제재를 받고 있는 북한이 해킹으로 '사이버 외화벌이'에 주력한다는 분석도 많다.
남북연락사무소 폭파와 군사 위협으로 남북관계가 급격히 악화되면서 사이버 도발 수위도 올라갈 수 있다는 우려가 커지는 상황이다. 그 동안 북한은 핵실험, 로켓 발사 등 무력 도발 이후 사이버 공격을 감행하는 패턴을 보여왔기 때문이다.
실제로 2013년 2월 3차 핵실험 감행 후 한달만에 방송사와 은행을 대상으로 한 '3·20 사이버 테러'가 일어났으며, 2016년 4차 핵실험 직후에도 청와대를 사칭한 공공기관을 노린 악성 메일이 대량 유포되기도 했다.
이런 가운데 정부와 유관기관은 모니터링 강화에 나서는 등 대비 태세를 유지하고 있다. 다만 아직까지 사이버 위기 경보 단계를 상향 조정하진 않았다.
한국인터넷진흥원(KISA) 관계자는 "관련 사이트 모니터링을 강화하고 있다"고 말했다.
김국배 기자 [email protected]
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기