[아이뉴스24 김혜경 기자] #1. 대북 전문가인 A씨는 100여명이 참여하고 있는 카카오톡 단체대화방(단톡방)에서 docx 형식의 보고서 파일을 공유받았지만 열어보지 않았다. 얼마 후 단톡방에는 '최근 북한 소행으로 추정되는 해킹 공격이 단톡방으로 번지고 있다'는 공지가 떴다. 혹시나 하는 마음에 파일을 보낸 지인에게 전화를 했더니 계정이 탈취되는 피해를 입었다고 한다.
#2. 한 정부출연 연구기관에 근무하는 B씨는 평소 국제정세 분석 보고서를 올려두는 웹사이트를 자주 방문한다. 어느 날 보안팀으로부터 기관 내 복수의 PC가 악성코드에 감염됐다는 통보를 받았다. 소프트웨어(SW) 취약점 보안 패치가 이뤄지지 않은 상황에서 북한발로 추정되는 해킹에 공격당한 웹사이트를 방문한 것이 공통점으로 확인됐다.
◆ "SW 취약점 악용해 국가기관‧방산기업 60곳 해킹"
북한 소행으로 추정되는 해킹 공격이 잇달아 발생하면서 사이버 안보에 대한 우려가 커지고 있다. 북한발 해킹 기법이 날로 지능화되면서 과거와는 다른 수준의 고강도 위협이 지속적으로 가해지는 것이다.
13일 국가정보원과 한국인터넷진흥원(KISA)에 따르면 최근 북한 해킹조직은 '이니세이프' 보안 프로그램의 취약점을 이용해 국가‧공공기관과 방산업체, 바이오기업 등 60여곳의 PC 210여대를 해킹했다.
이번에 공격당한 보안 프로그램은 금융기관 등 다수 홈페이지에서 사용자 인증서 처리를 위해 사용되고 있다. 사용자가 홈페이지에 접속하면 자동으로 설치되는 형태로, 국정원은 국내외 1천만대 이상의 기관과 기업, 개인 PC에 이 프로그램이 설치된 것으로 추정하고 있다.
보안 업계 관계자는 "이 프로그램의 취약점과 특정 웹사이트의 취약점 코드가 결합할 경우 악성코드에 감염되는 구조"라면서 "공격자는 직원들이 자주 방문하는 웹사이트를 해킹한 후 취약점 코드를 삽입했을 것"이라고 추정했다.
국정원은 이를 '워터링 홀'이라는 이름의 해킹 기법으로 보고 있다. 해커가 공격 대상 정보를 수집해 웹사이트를 감염시킨 후 접속을 기다리는 수법이다.
임종인 고려대 정보보호대학원 석좌교수는 "SW 취약점은 지속적으로 발생할 수밖에 없고 보안 업데이트가 무엇보다 중요한데 (문제의 보안 프로그램은) 제조사가 이 작업을 소홀히 한 것"이라며 "대다수가 사용하는 보안 프로그램이라는 점에서 금융기관들도 좀 더 주의를 기울여야 했다"고 지적했다. 이어 "SW 취약점을 겨냥한 공격은 과거에도 빈번하게 포착됐다는 점에서 경각심을 가져야 한다"고 덧붙였다.
보안 SW 취약점을 악용한 북한발 해킹 시도가 늘자 국정원은 유관 기관과 긴급 간담회를 열기도 했다. 국정원은 "이니세이프 프로그램을 사용하고 있는 기관을 대상으로 보안 패치를 진행하고 있다"며 "개인도 최신 버전으로 업데이트해야 한다"고 말했다. KISA는 "문제가 된 보안 취약점은 해커가 원격으로 사용자 PC에 악성코드를 전파하고 감염시킬 수 있어 매우 위험도가 높다"고 주의를 당부했다.
◆ 북한발 사이버 공격 2004년 4건 → 2021년 1천462건 급증
북한발 사이버 공격은 과거와 비교하면 그 횟수가 매우 우려할 만큼 빠르게 늘고 있다. 사이버전 연구그룹인 이슈메이커스랩이 한국을 비롯해 전 세계를 대상으로 집계한 북한 추정 사이버 공격은 2004년 5건에서 2021년 1천462건으로 300배 이상 급증했다.
이슈메이커스랩은 "모든 북한 연계 해킹조직의 활동을 집계했고 악성코드를 기준으로 통계를 냈다"고 설명했다. 이슈메이커스랩이 국가별 공격 건수를 집계하지 않았지만 한국이 주요 공격 대상이라는 점을 감안하면 상당한 공격이 이뤄졌음을 짐작할 수 있다.
신‧변종 사이버 공격이 늘면서 북한 해킹조직의 수법도 교묘해지고 있다. 앞서 국정원은 독일 연방헌법보호청(BfV)과 합동으로 정찰총국 산하 해킹조직인 '킴수키(kimsuky)' 관련 보안 권고문을 발표한 바 있다.
양국 정보기관이 합동 보안 권고문을 발표하는 것은 이례적으로, 미국 국가안보국(NSA)‧연방수사국(FBI)에 이어 두 번째다. 백종욱 국정원 3차장은 "북한의 신종 해킹 활동에 대한 경각심을 갖고 일상생활에서 각별한 주의가 필요하다"며 "세계 각국과 합동 보안 권고문을 지속 발표할 것"이라고 전했다.
양국 정보기관이 포착한 공격 사례는 구글 서비스를 악용한 스피어 피싱이다. 스피어 피싱이란 악성 링크 혹은 악성 문서가 포함된 이메일을 전송해 정보를 탈취하는 방식이다.
공격자는 이메일을 전송한 후 '크로미움' 브라우저에서 작동하는 악성 프로그램 설치를 유도했다. 피해자가 프로그램을 설치할 경우 공격자는 로그인을 하지 않고도 이메일 내용을 실시간으로 볼 수 있다. 국정원 관계자는 "공격 대상은 양국의 한반도·대북 정책 관련 전문가"라면서 "킴수키는 대부분 스피어 피싱을 통해 사이버 공격을 감행하고 있다"고 말했다.
◆ 이메일 피싱 공격 2.5배 늘어…"정부기관 등 특정 대상 타깃"
스피어 피싱은 북한 해커들이 즐겨 쓰는 수법이다. 보안기업 NSHC에 따르면 북한 정부 지원을 받는 해킹조직이 지난해 한국을 겨냥해 수행한 피싱 공격은 2021년 대비 2.5배 이상 늘었다.
NSHC 관계자는 "피싱 공격은 이메일과 소셜 미디어, 메신저 등 업무와 일상에서 자주 사용하는 도구를 활용해 다양한 산업군의 공격 대상을 식별하고 접근할 수 있어서 공격 사례가 빠르게 늘어나는 특징이 있다"고 우려했다.
NSHC는 "이들은 공격대상의 포털사이트 계정 정보를 탈취한다"며 "탈취한 계정에서 정부기관 관련 내부 정보가 추가 확인될 경우 이를 바탕으로 내부 시스템에 침투할 수 있는 발판을 마련할 수 있고 공격 대상 범위를 확장할 수 있다"고 설명했다.
외교부 산하기관에서 통일 전략을 연구하는 연구원과 탈북자 출신 대북 전문가를 대상으로 발송된 피싱 메일 본문에는 '카드사 인증에 문제가 발생했다'는 내용이 포함됐다. 수신자가 '본인인증내역 확인하기' 버튼을 누르면 피싱 사이트로 접속되는 방식이다. 피싱 사이트는 네이버의 로그인 웹페이지와 유사하게 제작돼 수신자가 계정 정보를 입력할 가능성이 높다.
NSHC에 따르면 공격자가 사칭한 인터넷 서비스는 네이버가 64%로 집계돼 가장 많다. 네이버에서 제공하는 전자문서 등 정상 서비스로 위장해 수신자가 의심 없이 피싱 메일을 확인하도록 유도한 것으로 나타났다.
글로벌 보안기업 맨디언트도 2018년부터 킴수키를 추적해왔다. '지능형 지속 위협'을 감행하는 공격그룹이란 뜻의 'APT43'으로 명명하고 추적 결과를 주기적으로 공개하고 있다.
루크 맥나마라 수석 애널리스트는 "핵 개발 정보를 수집하기 위해 메일 발송 시 언론인 등을 사칭해 특정 분야 전문가나 싱크탱크 연구원의 답변을 유도한다"며 "멀웨어(악성 소프트웨어)를 첨부하지 않는 방식도 많이 포착됐는데 대다수 피해자들은 답변을 했을 뿐만 아니라 상당히 구체적인 내용을 알려준 경우도 많았다"고 설명했다.
◆'워너크라이' 사태 주범으로 지목된 北…"여전히 공격 이어져"
맨디언트에 따르면 킴수키 외 다른 북한 연계 해킹조직은 랜섬웨어를 활용하기도 한다. '락빗'과 같은 서비스형 랜섬웨어(RaaS)를 구매해 사용하지만 '홀리고스트' 등 조직이 직접 랜섬웨어를 만들어 공격하는 사례도 늘었다.
앞서 국정원은 보안 권고문을 통해 "북한 해킹조직은 위장 도메인·계정을 만든 뒤 가상 사설망(VPN) 등을 이용해 해킹 대상 기관의 네트워크를 공격한다"며 "악성코드를 활용해 시스템을 파괴·암호화하고 정상화를 조건으로 가상자산을 요구하고 있다"고 경고했다.
북한 정찰총국 소속 해커그룹 '라자루스(Lazarus)'는 2014년 소니픽쳐스 해킹으로 전 세계에 이름을 알린 바 있다. 라자루스는 2016년 방글라데시 중앙은행 해킹 사건에 이어 2017년 5월 '워너크라이(WannaCry)' 랜섬웨어 사태의 주범으로 지목됐다.
랜섬웨어란 몸값(Ransom)과 소프트웨어(Software)의 합성어로 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 한 후 이를 인질로 삼아 금전을 요구하는 악성 프로그램이다.
워너크라이는 윈도우용 프로그램 취약점을 이용한 랜섬웨어로, 보안패치가 적용되지 않은 PC를 감염시키는 등 전세계를 강타했다. 국내 보안 전문가는 "첨부파일을 내려받거나 특정 사이트에 접속해야 감염되는 일반적 랜섬웨어와는 달리 스스로 취약점을 찾아 감염시키는 자동 전파 기능이 있다는 것이 특징"이라고 말했다.
문제는 워너크라이 감염이 지속적으로 이어지고 있다는 점이다. 조가원 한국IBM 보안사업부 기술총괄 상무는 "지난해 전 세계 사이버 공격 가운데 31%가 아시아·태평양 지역에서 발생했고 제조업을 겨냥한 공격이 절반을 차지했다"며 "워너크라이, 컨피커(Conficker) 등 과거 유행했던 멀웨어 감염이 지속적으로 발생하고 있다는 점을 눈여겨봐야 한다"고 조언했다.
/김혜경 기자([email protected])
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기