[단독] 北 ‘김수키’ 공격 인프라는 국내에…구멍 난 '호스팅 보안'
by김가은 기자
2023.06.07 18:58:38
北 해커조직 김수키, 국내 호스팅 업체 서버 공격에 활용
서버 빌려주는 호스팅 기업 정상 고객으로 위장
3년간 아무 제재없이 공격 서버 구매했지만
정부기관들은 서로 책임 떠넘기기
[이데일리 김가은 이소현 기자]
북한 정찰총국 산하 해커 조직 ‘김수키(Kimsuky)’가 국내 서버 호스팅 기업 인프라를 구매해 피싱 공격에 활용 중인 것으로 확인됐다. 국내 공격에 쓰이는 인프라가 정상적인 서비스로 둔갑해 지속적으로 정보수집활동을 벌여온 것이다.
7일 이데일리가 입수한 국내 침해사고대응 전문기업 나루씨큐리티 사이버위협인텔리전스(N-CTI)팀 자료에따르면 김수키 조직은 지난해 국내 소재 호스팅 업체 A사와 B사 인프라를 할당받아 공격에 사용했다. 이는 통일·외교·안보 등 전·현직 정부 관계자들을 대상으로 수행된 김수키 계열 피싱 공격자원 326개 인터넷 주소(IP)를 분석한 결과다.
총 66개 서버를 보유한 호스팅 업체 A사는 지난 2021년부터 북한 관련 피싱 사이트가 지속적으로 설치 운영된 사업자다. 지난해 탐지된 피싱 사이트 중 82개가 해당 업체에서 제공하는 인프라를 활용했다. B사 인프라는 총 8개 피싱사이트에 악용됐다.
김수키 조직은 해외에서 가상자산으로 서버 임대료를 지불한 뒤 국내 인터넷 도메인 주소를 할당받았다. 이를 네이버, 카카오, 다음 등을 사칭한 피싱 공격에 활용했다. 실제로 지난해 공격에 사용한 이메일 도메인 중 국내 포털 ‘다음’과 유사해 보이도록 만들어진 아이디에 할당된 대역은 국내 호스팅 업체 A사 서버와 연결돼 있었다. 해당 공격은 ‘수신자 계정 정보가 도용된 것으로 의심된다’는 본문 내용과 함께, 카카오 계정 관리 홈페이지를 위장해 비밀번호 등 정보를 입력하도록 유도했다.
전문가들은 이는 최근의 인터넷 운영 구조 변화를 악용한 수법으로 보고 있다. 과거와 달리, 돈을 지불하면 해외에 위치한 서버를 구매해 사업을 진행하는 일이 수월해지자, 관문국(게이트웨이)에 설치된 피싱 탐지 체계를 회피하는 방법으로 국내 호스팅 기업 인프라를 활용한 것이다. 호스팅이란 서버의 전체 혹은 일부를 이용할 수 있도록 임대해 주는 서비스를 말한다.
문제는 김수키 조직이 이 같은 방식을 2021년부터 3년간 채택해왔음에도 별다른 대응책을 마련하지 못한 점이다.
N-CTI 팀 분석 결과 이들이 A사 서버에 연결된 다음 유사 도메인을 사용해온 시점은 지난 2021년 10월 2일이다. 정부와 호스팅 업체 모두 손을 놓고 있었던 셈이다.
김혁준 나루씨큐리티 대표는 “해외에서 국내 업체 서버를 구매해 인프라를 등록하는 과정에서 추가적 검증을 하거나, 호스팅 사업자가 자체적으로 차단 조치를 수행할 의무를 정부에서 정책적으로 마련해야 한다”며 “현재의 인터넷 관문국 기반 피싱 탐지 체계는 시대적인 변화를 반영하지 못해 보안 공백이 생긴 상황”이라고 지적했다.
하지만, 정부 기관들은 서로 책임 떠넘기기만 하는 상황이다.
경찰청 국가수사본부 관계자는 “국내 호스팅 업체에 돈을 지불하고 서버를 구매해 피싱 공격에 사용하는 경우가 있단 사실은 알고 있다”며 “다만, 보안 관제를 통해 공격 시도 발생 상황을 추적하는 것은 국정원이나 한국인터넷진흥원(KISA)에서 해야 한다”고 말했다.
국가정보원 관계자는 “호스팅 업체가 민간 영역이다 보니 적극적 대응방안을 마련하고 발표하기에는 불필요한 오해가 생길 수 있다. 현행 법 체계상으론 민간 영역을 담당하는 KISA나 과기정통부가 대책을 강구해야 한다”면서도 “호스팅 등록시 추가 검증 등 제도적 보완이 필요한 건 사실”이라고 말했다.
KISA 관계자는 “북한 해커조직 김수키가 배후라면 해당 건에 대해 수사나 대응할 권한은 없다”며 “북한 관련된 일은 국정원에서 담당해 손을 쓸 수 없다”고 말했다.