3·20 사이버테러와 다른 조직인 듯
북한 추정 해커 조직이 국내 주요 기관을 상대로 사이버 첩보 활동을 벌이고 있다는 분석이 나와 파장이 예상된다. 이 같은 활동은 다년간 이뤄졌으며 현재도 진행 중인 것으로 알려졌다.
하우리와 카스퍼스키랩은 12일 북한으로 추정되는 해커 조직이 국방, 외교, 통일 관련 정부 부처와 관련 연구 기관을 상대로 정보를 수집 중인 것을 발견했다고 밝혔다.
공통된 분석 결과가 국내외 보안 업체에서 동시에 나온 건 상당히 이례적인 일로, 신빙성이 상당해 보인다.
양사의 분석을 종합하면 국방, 외교, 통일 관련된 기관과 인물이 주된 타깃이 됐다. 하우리는 관련 기관의 전·현직 원장과 해외 주재국 대사, 예비역 장성, 장관 후보자, 탈북자 등이 포함됐다고 밝혔으며 카스퍼스키랩은 세종연구소, 한국국방연구원, 통일부, 현대상선 등을 지목했다.
이들 기관에서는 실제로 정보가 새어 나간 것으로 파악됐다. 여기에는 기밀정보도 상당 부분 포함된 것으로 전해졌다.
최상명 하우리 선행연구팀장은 “보안상 구체적으로 밝힐 수는 없지만 감염 대상으로부터 기밀정보가 외부 유출된 것을 확인했다”며 “2년 전 감염된 한 PC에서는 지금도 정보가 빠져 나가는 사례도 있었다”고 전했다.
공격은 지능적으로 이뤄져 탐지가 어려웠던 것으로 보인다. 악성코드가 담긴 한글문서(HWP)를 이메일로 보내 감염을 유도했다. 국방 관계자에게는 국방 행사 초청 내용을, 해외 대사에게는 주재국 현지 이슈와 관련된 내용으로 꾸며 첨부 파일을 열기 쉽게 했다. 이후 감염된 PC를 제어할 때도 이메일 프로토콜을 사용해 탐지를 우회했다는 분석이다.
김남욱 카스퍼스키랩 기술 이사는 “암호화된 이메일을 토대로 통신을 하기 때문에 노출이 되지 않았다”고 말했다.
하우리는 이번 정보 수집 활동이 북한으로 소행으로 추정되는 이유로 악성코드에 사용된 암호화 기법이 기존 북한 소행으로 알려진 악성코드와 유사하고 악성코드 개발 경로와 명령어에 한글이 사용된 점을 들었다. 또 공격자의 관리자 IP가 국내에서 북한을 찬양하는 게시글을 올린 IP와 일치하기도 했다고 덧붙였다.
카스퍼스키랩은 해킹 대상이 된 기관, 악성코드에 사용된 한글 문자열(공격·완성 등), 북한과 연결된 것으로 추정되는 중국IP가 발견된 점 등을 근거로 제시했다.
이 같은 해커들의 정보 수집 활동은 그동안 정부 당국에도 공유된 것으로 알려졌다. 하지만 공격이 워낙 은밀하게 이뤄져 차단이 쉽지 않은 것으로 전해졌다.
최상명 하우리 선행연구팀장은 “수년 전부터 북한으로 추정되는 해커조직들이 국내 정부 기관을 대상으로 사이버 첩보 활동을 하고 있어 문제를 공론화하고 효과적 대응 방안을 찾고자 내용을 공개하게 됐다”고 설명했다.
이번 사이버 첩보 활동 조직은 북한 해커들로 추정되지만 지난 3월 20일과 6월 25일 방송사, 금융사, 청와대를 공격한 이들과는 별도의 조직인 것으로 전해졌다.
카스퍼스키랩은 이번 활동이 “대한민국의 주요 기관을 대상으로 한 고도의 표적 공격”이라고 결론지었다.
윤건일기자 benyun@etnews.com
