국방부와 육군 등 군 관련 이메일 계정 정보가 인터넷에 떠도는 것으로 확인됐다. 군사기관에서 사용하는 이메일 계정정보는 사이버 테러나 주변 적대국에 유용한 정보다. 공격자는 표적을 정하면 제일 먼저 이메일 계정을 확보해 지능형지속위협(APT) 공격을 시작한다.
4일 NSHC(대표 허영일) 레드얼럿팀은 2011년부터 올해까지 해외에서 해킹으로 유출된 대규모 개인정보를 입수해 분석했다. 이 가운데 국내 군 관련자 이메일 계정 23건을 찾아냈다. NSHC는 관계 기관에 계정 정보를 알리고 대응을 요청했다.
NSHC가 찾아낸 군 관련 이메일 계정 정보는 2011년 발생한 스타트포(Startfor), 2013년 어도비, 2016년 링크드인 해킹에서 유출된 내용이다. 해외에서 발생한 개인정보 유출사고가 국내 기관을 노린 사이버 공격에 단초가 되는 상황이다. NSHC는 한국 군 관련 이메일 계정과 비밀번호가 인터넷 블랙마켓에서 버젓이 거래된다고 설명했다.
해외 해킹으로 노출된 한국 군 관련자 이메일은 국방부 직원이 가장 많았다. `XXX@mnd.go.kr` 형태를 각종 인터넷 서비스 이메일 계정으로 입력했다. 이외에도 육군, 해군 등 이메일 계정도 포함됐다.
공격자는 표적 기관 근무자 이메일을 확보한 후 사회공학 방법을 이용해 악성코드가 담긴 내용을 보낸다. 군이라면 각종 방위사업이나 북핵관련 사고에 대한 의견을 묻는 식이다. 올해 초 발생한 청와대 사칭 이메일 해킹 사건 역시 이 같은 수법이 쓰였다. 최근 군을 비롯해 주요기관 관계자는 명함 등에 이메일 계정을 노출하지 않는데 해외 해킹 사고에서 모르는 사이에 유출된다. 국내 사고와 달리 해외서 발생한 계정 유출사고에 둔감한 것도 2차 피해 가능성을 높인다.
유출된 정보 상당수는 2013년 터진 어도비 해킹 사건 때 외부로 나왔다. 해외에서 발생한 개인정보 유출사고가 국내 APT 공격에 이용되며 2차 피해를 양산한다. 2013년 당시 어도비는 해킹 공격으로 1억5300만건에 달하는 개인정보를 유출했다. 당시 고객 이메일 계정과 비밀번호, 비밀번호 유추 힌트, 고객명이 빠져나갔다.
레드얼럿팀은 “APT 공격 첫 시장은 표적기관이나 시스템 등 정보수집에서 시작된다”며 “특히 군사 기관에서 쓰는 계정 정보는 사이버테러에 매우 유용한 자료”라고 설명했다. “일부 데이터는 현재도 블랙마켓에서 거래돼 대응이 시급하다”고 덧붙였다.
김인순 보안 전문기자 insoon@etnews.com
