이데일리

경제 기업 정치 사회 부동산 증권 문화 연예 스포츠

COPYRIGHT EDAILY, ALL RIGHTS RESERVED.

카이스트 3만건 정보 훔친 北 해킹조직…국내 주식시장까지 노려

by이후섭 기자
2021.01.04 15:48:47

`탈륨 조직` 사이버공격 흔적서 KAIST 위장사이트 발견돼
청와대 행사부터 네이버 고객센터까지 사칭…전방위 공격 지속
주식투자 메신저에도 악성파일 심어…“주식 관련 사이트 노려”

(그래픽=이스트시큐리티 알약 블로그 화면 캡처)


[이데일리 이후섭 기자] 북한을 배후로 둔 것으로 추정되는 해킹 조직이 최근 카이스트(KAIST)를 공격해 3만여 건의 정보가 유출된 것으로 나타났다. 국내외 제약사, 방위산업체 등을 노린 공격을 계속 시도하는 `탈륨` 조직은 최근 사설 주식투자 메신저를 악용한 공격까지 수행한 것으로 나타나 각별한 주의가 요구된다.

4일 보안 업계에 따르면 지난해 11월 초 보안 전문기업 이스트시큐리티가 운영하는 알약 블로그에 북한 연계 해킹조직 탈륨에 대한 분석 보고서가 올라왔다. 해당 보고서에는 당시 탈륨 조직이 정찰 및 침투목적의 악성 이메일을 발송한 정황이 포착됐는데, 카이스트(kaist) 이름이 들어간 도메인과 IP주소 등이 포함됐다는 내용이 담겼다.

실제 지난해 11월 카이스트 전산망 중 `전자연구노트 시스템`이 해킹을 당해 전·현직 교직원과 학생 등 3만여 건의 개인정보가 유출된 사건이 발생했다. 전자연구노트 시스템에는 연구와 실험 진행상황 등의 정보가 저장돼 있었다. 이스트시큐리티는 탈륨 조직의 공격 정황을 포착하고 카이스트 등에 정보를 공유한 것으로 알려졌다.

문종현 이스트시큐리티 시큐리티대응센터(ESRC)장은 “당시 제약사들에 대한 해킹 공격이 기승을 부렸는데, 이 뿐만 아니라 방위산업체, 북한 관련 연구자 등에 대한 공격을 모니터링하는 과정에서 카이스트 해킹을 위해 만들어진 위장 사이트 흔적을 발견했다”며 “특정단체를 대상으로 위장 사이트를 만들어 공격하는 방식이 계속 진행되고 있는데, 이런 방식에 누가 속겠냐고 치부해 버리기 십상이지만 막상 뚫리는 경우가 많다”고 경계했다.

이스트시큐리티 시큐리티대응센터(ESRC)가 지난해 11월 발견한 카이스트 해킹 공격 흔적.(자료=이스트시큐리티 알약 블로그 화면 캡처)
탈륨 조직은 지난 2019년 12월 미국 마이크로소프트(MS)가 버지니아주 연방법원에 정식으로 고소장을 제출하면서 국제사회에 알려진 해킹 조직으로, 북한 배후로 추정되는 `김수키` 조직의 연장선으로 분석된다. 최근 국내 방위산업체를 포함해 대북 연구 분야 종사자와 탈북민, 북한 관련 취재 기자들을 집중 공격하고 있다.



ESRC 보고서에 따르면 이번에 발견된 악성파일 공격 흔적은 지난 2019년 시도됐던 외교부 일본 동향정보 사칭 공격부터 청와대 행사 사칭, 올 들어서는 네이버 고객센터 위장, 국내 암호화폐 지갑 위장 공격까지 연관성이 있는 것으로 나타났다.

국정원도 해당 공격 징후를 탐지해 카이스트에 정보를 넘겨줬지만, 공격 주체에 대해서는 밝힐 수 없다는 입장이다. 카이스트는 현재 진행 중인 조사결과가 나오는 대로 그에 맞는 후속조치를 취할 계획이나, 조사결과가 나오기까지는 다소 시간이 소요될 것으로 보인다.

ESRC는 전날 탈륨 조직이 사설 주식투자 메신저를 변조해 소프트웨어 공급망 공격을 수행하고 있다는 보고서도 냈다. 탈륨 조직은 위장 사이트 등을 통한 피싱 공격을 주로 펼치는데, 최근 비트코인 등 암호화폐 지갑 공격 사례처럼 공급망 공격을 가하는 경우도 발생하고 있다. 소프트웨어를 다운받는 정식 프로그램을 변조해 악성코드까지 같이 작동하게 만드는 공급망 공격은 파급력이 상상을 초월할 수 있다. 특히 이용자가 많은 유명 프로그램이 공격을 당할 경우 악성코드 감염이 기하급수적으로 퍼질 우려가 있다. 이번 공격도 주식 정보 제공용 메신저의 정식 사이트에 있는 프로그램을 악성파일로 바꿔치기해 해당 메신저를 내려받은 사림들이 악성코드 공격에 노출될 수 있다.

문종현 센터장은 “탈륨 조직이 금전적 수익을 위해 비트코인을 넘어 주식 투자자까지 공격하고 있다”며 “악성파일로 정교하게 바꿔치기한 방식을 보면 불특정 다수를 해킹하려는 게 아니라 주식 관련 사이트를 노린 것으로 보인다”고 추정했다.

국정원도 탈륨 조직 등 해킹그룹의 동향을 주시하고 있다. 공공기관을 상대로 한 사이버공격이 하루평균 162만건씩 쏟아지고 있어 실시간으로 공격 징후를 탐지하고 정보를 공유하는 등 대응에 나서고 있다는 것이다.

국정원 관계자는 “실시간으로 정해진 매뉴얼에 따라 대처하고 있다”고 강조했다.

Copyright ⓒ 이데일리. All rights reserved.