한반도 정세가 급변하면서 이해 관계국 간 사이버 첩보전이 치열하다. 국가 지원 해커가 한반도 중심으로 활발하게 활동하고 있다.
29일 보안업계에 따르면 최근 외교·안보 연구소와 관계자를 노린 스피어 피싱과 워터링홀 공격이 잇달아 감지됐다. 시스템이나 네트워크 파괴 등 눈에 보이는 사이버 공격이 아니라 외교 전략과 정보를 빼돌리는 첩보전이다. 북미정상회담과 관련해 신경전이 계속되면서 상대국 입장을 파악하려는 시도로 분석된다.
이스트시큐리티대응센터(ESRC)는 최근 4·27 남북정상회담 관련 내용이 포함된 한글 형태 악성 파일을 발견했다. ESRC는 해당 공격이 국가 지원 해커가 수행한 최신 지능형지속위협(APT) 공격이며, '작전명 원제로(Operation Onezero)'라고 명명했다.
공격에 쓰인 악성 문서는 5월 18일 제작됐다. 외교 안보와 대북 관련 업무 관계자를 노린 스피어 피싱으로 정보를 탈취한다. ESRC는 “공격에 쓰인 위협 벡터가 2014년 한국수력원자력 원전 도면 유출 사고 때 발견된 것과 일치하다”고 밝혔다.
북한 관련 연구소와 협회, 연구학회 등 웹사이트 방문자 대상으로 악성코드를 유포하는 워터링홀 공격도 발생했다. 공격자는 S사 업무 포털 솔루션 '에이큐브' 액티브X 취약점을 이용했다. 공격자는 해당 업무 포털 사용자가 세종연구소 등 사이트에 방문하면 취약점을 이용해 악성코드를 감염시켰다.
세종연구소는 정부 외교·안보·통일 분야 싱크탱크다. 공공기관과 기업 등이 에이큐브 업무 포털 솔루션을 쓴다. 한국인터넷진흥원은 28일 에이큐브 액티브X 보안 업데이트 권고를 내렸다. 영향 받는 제품은 'AcubeFileCtrl.ocx 2.3.0.4' 미만 버전이다. 에이큐브 솔루션을 사용하는 기관은 업데이트가 시급하다. 공격자는 E결제모듈과 D사 그룹웨어 통합계정관리에 쓰인 액티브X 취약점도 이용했다.
이달 초 국가안보전략연구소 직원 대상으로 청와대를 사칭한 해킹 이메일도 유포됐다. 공격자는 청와대 국가안보실 위기관리센터를 사칭, '2018년 남·북 정상회담에 대한 중국 반응과 전망'이란 제목으로 탈북자와 대북 전문가 등 북한 관련 인사에게 피싱 이메일을 보냈다. 이메일에 문서처럼 보이는 HTML 링크를 첨부, 클릭을 유도했다.
이동근 한국인터넷진흥원 침해사고분석단장은 “현재 사이버 세상은 멀리서 보면 고요한 바다 같지만 파도는 끊임없이 일으키고 있다”면서 “국가 전체 마비와 같은 대규모 사이버 공격은 줄었지만 추적하기 어려운 정보전은 계속되고 있다”고 말했다.
한 사이버전 전문가는 “북미정상회담이 성사와 무산을 반복, 북한은 물론 중국·러시아·일본 등 이해 당사국 간 사이버 첩보전이 확대됐다”면서 “그동안 우리를 공격하지 않은 국가 지원 해커 활동도 많아져서 대응이 복잡해질 것”이라고 설명했다.
김인순 보안 전문기자 insoon@etnews.com