지난 3월 20일 국내 방송사와 금융사를 공격했던 사이버 해킹 조직이 활동을 재개했다. 공격 대상 등 구체적인 목표는 현재 확인되지 않고 있지만 새로운 임무에 착수한 것이 확실시된다. 이들은 이미 원격에서 특정 작업을 수행할 수 있는 명령제어(C&C) 서버까지 구축한 상태인 것으로 알려졌다.
30일 보안 전문가인 최상명씨(현 하우리 선행연구팀장)는 지난 3월 20일 공격을 주도한 해킹 조직이 4월 말 해킹을 재개했다고 밝혔다. 최씨는 2008년부터 북한 사이버부대 활동을 추적해 왔으며, 이번 3·20 공격 루트와 공격 주체도 최초로 밝혔다.
최씨는 지난 29일 본지와 단독 인터뷰를 갖고 3·20 공격에 쓰인 것과 종류가 같은 악성코드가 최근 처음 발견됐으며, 악성코드에 감염된 PC를 제어할 수 있는 C&C 서버의 존재도 확인됐다고 강조했다. 3·20과 동일 조직으로 파악된 건 당시 해킹 조직이 고유하게 사용한 식별 번호(8자리 숫자)가 이번에도 확인됐기 때문이다. 최씨는 이 같은 사실을 전하면서 “이들이 배포한 악성코드는 현재 어떤 백신에도 탐지되지 않는 것이 특징”이라고 설명했다.
최씨는 “금융정보나 게임계정 등을 탈취해 금전적 이익을 취하려는 일반 해커들과 달리 (3·20 공격 세력은) 국가 기밀 정보를 해킹하려는 동향을 보여 관심을 가져왔다”고 덧붙였다. 그가 추적해온 조직이 지난 3·20 사이버 테러 때와 동일 단체로 드러난 것은 그동안의 분석 내용과 민·관·군 합동 조사 결과가 일치했기 때문이다.
활동을 재개한 해킹 조직이 누구를 공격 대상으로 삼고 어떤 목적에서 다시 움직였는지는 아직 구체적으로 드러나지 않았다. 하지만 이들 조직이 수년 전부터 국가 기밀 정보 유출을 시도해왔고, 지난 3월 20일 공격처럼 물리적인 피해를 줬다는 점에서 제2의 공격 시점이 주목된다.
최씨는 “해당 조직은 악성코드에 국가기밀 키워드를 심어놓고, 키워드가 포함된 파일은 모두 가져가는 등 중요 기밀정보를 탈취하려 했다”며 “3·20은 물리적인 피해를 입혔기 때문에 겉으로 드러난 것일 뿐 해커 조직은 오랜 기간 치밀하게 활동하고 있다”고 강조했다.
정부는 지난 4월 10일 3·20 사이버 테러 중간 조사 결과를 발표하며 공격 배후로 북한을 지목한 바 있다. 합동대응팀은 공격자들이 목표지 PC나 서버를 장악하고 지속적으로 감시하다가 공격을 단행했다고 설명했다. 본지가 최근 만난 북한 사이버 부대 출신 귀순자 역시 이 같은 사실을 증언한 바 있다.
윤건일기자 benyun@etnews.com
