12일 관련 기관과 업계에 따르면 북한 해킹공격자들로 추정되는 이들이 지속적으로 남측이나 제3국에 대한 공격 행위를 은밀하게 시도하고 있어 주의가 요구된다. 최근 북측의 송이버섯 선물에 남측이 귤을 답례로 보내며 화해 분위기가 깊어지고 있지만, 긴장감은 유지해야 한다는 지적이다.
◇사회 혼란 대신 정보수집 중심으로 양상 변화
최근에는 특정 유명인들을 사칭한 이메일로 악성코드를 배포하는 수법을 활용하고 있다. 이들은 때로 대놓고 코드 속에 북한 연관성을 보여주는 경우도 있다.
공격자들은 또 국내에서만 사용하는 한글(HWP) 파일을 이용하는 등 남한 내 공공기관이나 공무원, 연구원 등을 대상으로 한 공격도 계속되고 있다.
|
최근에는 방위산업체에 ‘망 분리 요청사항’을 전달하는 방식의 이메일을 통한 공격 시도가 감지되기도 했고, 이 밖에 연구기관이나 언론사, 학계 인사에 대한 공격 시도도 감지된다.
금전적인 목적도 늘어나고 있는 것으로 전문가들은 보고 있다. 특히 암호를 일방적으로 설정한 뒤 암호화폐로 대가 지불을 요구하는 랜섬웨어 공격에 관심을 갖고 남측은 물론 제3국에 대한 공격에 나서고 있는 정황도 포착된다. 2016년 방글라데시 중앙은행을 비롯해 올해도 이미 대만을 비롯한 여러 지역에 대한 공격이 이어졌다.
보안 업계 관계자들은 “아직 구체적인 증거가 나오지는 않았으나, 미국·러시아 등 해외 보안 전문가들도 북한이 대북 금융제재 속 외화벌이를 위한 공격방식에 관심이 크다는데는 동의하고 있다”고 전했다.
◇사이 틀어지니 공격 시도..남북경협시 주의해야 할 수도
제3국의 기업이나 정부기구, 주요 인물 등에 대한 공격 시도도 감지된다. 2016년 말 국제사회의 대북 금융제재로 당시 이집트 기업 오라스콤이 평양에서 운영하던 오라뱅크 평앙지점의 철수를 결정한다. 이후 철수 작업이 막바지에 이른 지난해 5월, 업무연락 이메일에 악성코드를 심어 발송한다.
오라스콤은 북측 지역에서 이동통신사업을 진행하는 이집트 기업으로, 오라뱅크 등 계열사까지 진출시키며 북측 당국과 긴밀한 관계를 유지해온 협력 상대였다. 하지만 철수를 결정하자 갑작스레 공격했다.
문종현 이스트시큐리티 침해대응센터(ESRC)장은 “정상적인 업무연락인 것처럼 위장해 이메일을 통한 공격을 시도한 것으로 보인다”며 “사이가 좋을 때는 공격을 하지 않지만, 사이가 나빠지자 공격을 한 상황”이라고 말했다.
미국 보안업체인 파이어아이도 북 해킹 공격 집단이 중동의 한 국가의 고위 인사에 대한 공격 시도가 있다고 밝힌 바 있었다. 지난해 진행된 공격에 대한 분석 결과 당시 북측은 해당 국가와 무기 거래를 논의하다 협상이 틀어지자 이를 담당하던 고위 인사의 계정 등에 대한 공격을 진행했다고 파이어아이 연구팀은 설명했다.
이런 흐름은 앞으로 이어질 남북경협 과정에서도 우리 기업들의 주의해야 할 사항으로 보인다. 평화 분위기에서는 별다른 공격 시도가 없겠지만, 어떤 요인이건 사이가 틀어질 경우 공격 시도가 이어질 수 있다는 의미로 볼 수 있다는 지적이 나온다.
팀 웰스모어 파이어아이 아·태지역 위협정보분석 디렉터는 “북 해킹 세력은 (유명 소프트웨어 개발사인)어도비 프로그램의 취약점을 직접 찾아내 활용할 정도의 역량을 갖췄다”며 “긴장이 아닌 평화 시기에도 세계적으로 사이버 상의 첩보활동은 계속되고 있다”고 말했다.
|
