北 해킹 또 기승, 미국 등 방산업체 노려…“한국 공격은 일상화”
by이후섭 기자
2020.08.24 16:34:43
라자루스 조직, 미국·이스라엘 등 방산업체 해킹 공격 남발
국내는 더 심각…“일상화된 공격 전방위적으로 반복돼”
공격기법 고도화…“민관 공동 대응체계 마련 시급”
[이데일리 이후섭 기자] 북한 정부를 배후 세력으로 둔 것으로 추정되는 해킹 조직이 미국을 비롯한 세계 각국의 국방·항공 등 방산분야를 노린 공격을 이어가고 있다. 국내를 대상으로는 방산업체 뿐만 아니라 외교·통일·탈북단체 등 북한 관련 기관들을 전방위적으로 공격하는 것이 `일상화`돼 더욱 많은 위협에 노출됐다는 지적이 나온다. 그럼에도 국내에서는 북한 해킹 공격이 대외비로 유지돼 보안 불감증이 심각한 상황이라 경각심을 높일 필요가 있다는 조언이다.
24일 보안 업계에 따르면 북한 해킹 조직이 미국, 이스라엘 등의 방위산업체를 공격한 것으로 나타났다. 미국 국토안보부 산하 사이버·인프라안보국(CISA)과 연방수사국(FBI)은 최근 북한 사이버공격에 관한 악성코드 분석 보고서를 발표했다. 이에 따르면 `드림잡(Dream Job)`이라는 캠페인을 활용해 구직 공고를 사칭한 `블라인딩캔`이라는 악성코드를 유포했다.
이 악성코드 공격은 `히든코브라` 조직이 주도한 것으로 연초 국방과 에너지 핵심 기술 정보를 수집하기 위해 미국 정부 하청업체를 해킹했다. 히든코브라는 북한 정부가 지원하는 해킹조직으로 알려진 `라자루스`라고도 불린다. 드림잡 캠페인은 이스라엘과 전세계 여러 나라의 군사 및 국방기관 수십 군데를 노리고 진행됐으며, 최근 이스라엘 국방부도 라자루스 조직의 해킹 공격을 막아냈다고 발표한 바 있다.
문종현 이스트시큐리티 시큐리티대응센터(ESRC)장은 “미국에서는 록히드마틴이나 보잉 등이 주로 공격을 받았고, 영국의 방산기업 BAE시스템즈 등 항공우주 기술업체들이 주로 공격에 노출됐다”며 “사실 북한 해킹 조직의 공격은 연초부터 일어났고 민간 보안업체들이 계속 지적해 왔던 부분인데, 뒤늦게 이를 정리한 보고서가 이슈화되면서 주목을 받은 것”이라고 말했다.
라자루스는 북한 정찰총국 소속의 해킹 조직으로 추정되며, 국내에서는 지난 2009년 청와대 홈페이지 등이 해킹된 디도스 공격, 2011년 농협 전산망 해킹 등의 공격을 주도한 것으로 알려졌다. 올 상반기에도 국내서 △블록체인 소프트웨어 개발 계약서 △한미관계와 외교안보 △항공우주기업 채용 관련 문서 △00광역시 코로나 바이러스 대응 △성착취물 유포사건 출석통지서 등을 사칭한 공격으로 기승을 부렸다.
국내 방산분야를 노린 공격은 `탈륨`이라고도 불리는 `김수키` 조직이 매일 일상적으로 행하고 있다는 설명이다. 문 센터장은 “대부분의 기관이나 기업에서 공식적으로 발표를 못하는 상황일 뿐이지, 공개되지 않은 공격은 너무 많다”며 “이날도 국내를 노린 탈륨의 공격이 발견돼 공격기법 등을 분석하고 있다”고 강조했다.
북한 해킹 조직의 국내 방산업체를 노린 공격의 시작은 2000년대 초반으로 거슬러 올라간다. 문 센터장은 “방산업체의 최첨단 기술을 가져와 자국의 미사일 개발 등에 활용해 무기개발에 들어가는 시간과 비용을 줄이려는 목적을 가지고 있다”며 “국내에서 활동하는 탈륨 조직은 방산업체 뿐만 아니라 외교·통일·국방·안보·탈북단체·인권단체 등을 대상으로 활개를 치고 있다”고 말했다.
북한 해킹 조직의 공격은 앞으로도 끊이지 않으면서 공격기법이 점점 고도화될 것으로 예상돼 체계적인 대응이 필요해 보인다. 문 센터장은 “최근에는 공격 자체를 느끼지 못할 정도로 은밀하게 공격을 해오고 있다”며 “악성메일도 무작위로 유포하는 것이 아니라 처음에는 정상적인 메일을 보내 회신이 오는 사람들만 추려 2차, 3차 공격을 가하는 방식으로 지능화되고 있다”고 설명했다.
그는 “해외와 국내 대상의 해킹 조직을 전담해서 운용할 것으로 예상되는 등 우리나라는 지능형지속위협(APT) 공격의 중심에 서 있는데, 국민들에게 알려진 공격은 빙산의 일각이라 위험성을 무시하고 불감증에 사로잡힐 우려가 있다”며 “민관이 함께 공격에 대응할 수 있는 조직 체계를 지금이라도 갖춰야 한다”고 촉구했다.