국가 사이버 위기경보 올린 날, 北 '김수키' 해킹 시도 포착
by김국배 기자
2022.03.27 12:44:32
안랩 "정보유출형 악성코드, 코인 업체 겨냥한 공격" 추정
북한 ICBM 도발에 사이버 공간도 긴장감
무력 도발 후 사이버 공격 감행 패턴 보여와
美 맨디언트 "325국, 북 사이버 공격의 '스위스 군용 칼'" 경고
[이데일리 김국배 기자] 북한이 대륙간탄도미사일(ICBM) 발사로 4년여 만에 모라토리엄(핵실험·ICBM 발사 유예)을 파기한 가운데, 해킹 공격 등 사이버 도발 우려도 커지고 있다. 우크라이나 사태에 한국 정권교체기마다 반복돼온 북한의 도발에 국가정보원은 최근 사이버 위기 경보 단계를 ‘관심’에서 ‘주의’로 상향시키는 등 긴장감이 높아졌다.
사이버 보안업계에선 특히 남북관계를 떠나 북한의 해킹 시도는 지속적으로 수행되고 있다고 지적한다.
| 북한은 지난 24일 평양 순안비행장에서 신형 대륙간탄도미사일(ICBM) ‘화성-17형’을 발사했다. (사진=뉴스1) |
|
27일 국내 보안업체 안랩(053800)에 따르면 북한 해커 조직 ‘김수키(Kimsuky)’가 코인 관련 내용의 워드 문서로 피싱 공격을 수행한 정황이 지난 21일 포착됐다. 정부가 러시아와 우크라이나 전쟁 관련 사이버전 확대, 대선 이후 신(新)정부의 정책 자료를 입수하기 위한 해킹 시도 가능성 등 위협 상황을 반영해 공공·민간 분야 사이버 위기 경보 단계를 일제히 올린 당일이다.
안랩에 따르면 ‘주주 물량 관련’ ‘자산부채 현황’ ‘제3차 정기총회’ 등의 제목이 붙은 파일 3개가 이번 공격에 쓰였다. 유포된 악성코드는 정보유출형에 해당됐다. 문서를 최종 수정한 날짜도 21일로 모두 같았다. 안랩 측은 “내용이 모두 가상화폐와 관련돼 있는 것으로 보아 코인 업체를 대상으로 한 공격으로 추정된다”고 밝혔다.
| 문서 최종 수정 시간 비교. 문서 제목은 좌측부터 ‘자산부채현황.doc’, ‘제3자 정기총회.doc’, ‘주주물량관련.doc’. (사진=안랩) |
|
이런 가운데 북한은 지난 24일 ICBM을 발사하며 4년만에 도발을 재개했다. 윤석열 대통령 당선인의 당선이 확정된 지 보름만이다. 벌써 다음 날 김일성 생일(태양절·4월 15일)에 맞춰 정찰위성 발사나 ICBM 정각 발사 등 추가 도발을 이어갈 가능성도 제기된다.
윤석열 대통령 당선인 측은 ICBM 발사에 대해 “북한이 2018년 약속한 모라토리엄(핵실험 및 대륙간탄도미사일 시험 발사 중지 약속)을 깬 것”이라며 “한반도를 포함한 동북아와 세계 평화를 위협하는 이러한 도발 행위를 강력히 규탄한다”고 밝혔다.
그간 북한은 핵실험, 로켓 발사 등 무력 도발 이후 사이버 공격을 감행하는 패턴을 보여온 만큼 사이버 공간에서도 긴장감은 고조되고 있다. 실제로 2013년 2월 3차 핵실험 감행 후 한달 만에 방송사와 은행을 대상으로 한 ‘3·20 사이버 테러’가 일어났으며, 2016년 4차 핵실험 직후에도 청와대를 사칭한 공공기관을 노린 악성 메일이 대량 유포됐었다.
이런 시기에 글로벌 사이버 보안업체는 맨디언트도 23일(현지시간) 블로그를 통해 북한 정보기관 정찰총국 휘하에 있는 ‘325국(Bureau325)’ 해커 조직을 조명하며 북한 사이버 공격에 대해 경고했다. 마이클 반하트 맨디언트 수석 애널리스트는 “다양한 기술과 역량으로 북한 사이버 공격의 ‘스위스 군용 칼’이라 불리며 최근 급부상한 공격 그룹”이라며 “이들의 현재 코로나19 백신 정보 취득 시도에서부터 암호화폐 갈취, 핵 거래 비밀 탈취에 이르기까지 다양한 활동을 벌이는 중”이라고 했다.