[김국배기자] 한진, SK 등 대기업 그룹사가 북한으로부터 사이버 공격을 당해 4만 건이 넘는 문서가 빠져나갔다.
20개월이 넘게 이어진 전형적인 지능형 지속위협(APT) 공격이었다. 북한은 전산망 통제권까지 탈취했지만 바로 공격하지 않고 숨어서 이른바 '때'를 기다렸다.
다행히 '3·20 사이버테러’와 같은 전산망 대란으로 이어지기 전에 발견돼 차단됐지만 북한이 국가적 규모의 사이버테러를 준비한다는 사실이 다시 한 번 확인돼 충격을 안겨주고 있다.
경찰청 사이버안전국은 SK네트웍스 등 SK그룹 계열사 17곳과 대한항공 등 한진그룹 계열사 10곳 등 총 27개 기업이 북한의 사이버 공격을 당했다고 13일 밝혔다.
수사 과정에서 2013년 3월 20일 발생한 금융권과 방송사 공격 인터넷프로토콜(IP)와 동일한 북한 평양 류경동 소재 IP가 나왔다.
◆20개월 전부터 침투…APT 공격 전형
이번 공격은 전형적인 지능형지속위협(APT) 공격이다. 공격자는 2014년 7월부터 해킹을 지속했다.
해킹 공격에는 M사의 PC관리시스템 취약점이 쓰였다. 관리자 권한이 없어도 원격 접속해 임의로 파일을 배포하고 원격제어가 가능한 치명적인 미인증 우회 취약점이 존재했는데 해당업체는 이를 인지하지 못한 상태였다.
이들은 일부 그룹사에 대해 사이버테러가 가능한 수준의 서버와 PC 통제권을 탈취하고도 즉시 공격하지 않고 은닉시켰다. 또 다른 사이버 공격 대상을 확보하기 위해 지속적으로 해킹을 시도한 것.
보안업체 하우리 최상명 CERT 실장은 "북한 해커 조직은 항상 적절한 시기에 공격을 하는데 그 시기 이전에 발각된 것”이라며 "예를 들어 7차 노동당 대회(5월)를 노린 것인데 2~3월에 사전 차단된 것일 수 있다"고 설명했다.
◆북한발 사이버 공격 잇따라…민관 협력 방어 노력도 지속
보안업계에 따르면 최근 북한의 사이버 공격 징후는 연달아 감지되고 있다. 이에 따라 지속적인 관심과 대응이 필요한 상황이다.
지난해 11월에는 국내 보안업체의 코드사인(디지털서명)을 해킹해 악성코드가 유포된 정황이 포착됐고 경찰 수사 결과 북한의 소행으로 결론났다. 당시 해킹 공격에는 N사 제품의 인증 취약점이 빌미를 제공했다.
최상명 실장은 "보안업체는 N사 제품 인증취약점, 대기업 그룹사는 M사 제품 인증 취약점으로 모두 비슷한 시기에 유사한 취약점을 통해 침투 장악된 것"이라며 "북한은 2014년부터 우리나라 내부에 깊숙이 침투해 큰 대란을 일으키려 하는데 국내 기관 및 보안업체들의 노력으로 조기에 차단되고 있다"고 말했다.
이번 공격은 이전보다는 빠르게 민관 협력을 통한 대응이 이뤄진 편에 속한다. 이 과정에서 피해 그룹사인 SK주식회사 C&C는 자회사 SK인포섹과 함께 이번 해킹 공격에 쓰인 상용 소프트웨어(SW) 취약점을 신속하게 찾아내 해당업체의 보안 취약점 패치를 유도하기도 했다.
경찰청 사이버안전팀 관계자는 "한국수력원자력 해킹 등 통상 후속조치가 이뤄지기까지 수개월이 걸렸지만 이번에는 수사 착수부터 조치까지 한 달 정도가 걸렸다"고 말했다.
김국배기자 [email protected]
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기