이데일리

경제 기업 정치 사회 부동산 증권 문화 연예 스포츠

COPYRIGHT EDAILY, ALL RIGHTS RESERVED.

평화의 귤-버섯 나눴지만..北 해킹위협, 안심할 상황 아냐

by이재운 기자
2018.11.12 16:55:18

대북 관련 전문가 등 특정 대상 정보수집 공격 포착
사업 협력하던 제3국 공격도..남북경협시 주의해야

[이데일리 이재운 기자] 귤과 버섯이 오가는 남북 화해 분위기에도 북한의 대남 해킹 위협은 여전히 남아있다. 직접 공격은 줄어든 모습이나, 정보 수집 차원의 활동이 계속되고 있고 제3국 대상 공격을 진행하며 보이는 행태는 향후 남북경협 과정에서 우리도 주의해야 할 바를 시사해준다.

12일 관련 기관과 업계에 따르면 북한 해킹공격자들로 추정되는 이들이 지속적으로 남측이나 제3국에 대한 공격 행위를 은밀하게 시도하고 있어 주의가 요구된다. 최근 북측의 송이버섯 선물에 남측이 귤을 답례로 보내며 화해 분위기가 깊어지고 있지만, 긴장감은 유지해야 한다는 지적이다.

최근에는 특정 유명인들을 사칭한 이메일로 악성코드를 배포하는 수법을 활용하고 있다. 이들은 때로 대놓고 코드 속에 북한 연관성을 보여주는 경우도 있다.

공격자들은 또 국내에서만 사용하는 한글(HWP) 파일을 이용하는 등 남한 내 공공기관이나 공무원, 연구원 등을 대상으로 한 공격도 계속되고 있다.

‘남북이산가족찾기 의뢰서’를 사칭한 이메일 속 첨부파일 실행화면 예시. 이를 통해 악성코드 배포를 시도한 정황이 국내 보안업체에 포착됐다. 이스트시큐리티 제공
과거의 공격과 차이를 보이는 부분은 공격 대상의 ‘제한’이다. 과거에는 아예 서버를 마비시키는 분산형 서비스 거부공격(DDoS·디도스) 등 사회 전반의 혼란을 가하는 대남 심리전 방식이었다면, 이제는 북한 관련 기관을 비롯해 자신들에게 필요한 정보를 주고 받거나 생산하는 이들을 노리고 있다는 점이다.

최근에는 방위산업체에 ‘망 분리 요청사항’을 전달하는 방식의 이메일을 통한 공격 시도가 감지되기도 했고, 이 밖에 연구기관이나 언론사, 학계 인사에 대한 공격 시도도 감지된다.

금전적인 목적도 늘어나고 있는 것으로 전문가들은 보고 있다. 특히 암호를 일방적으로 설정한 뒤 암호화폐로 대가 지불을 요구하는 랜섬웨어 공격에 관심을 갖고 남측은 물론 제3국에 대한 공격에 나서고 있는 정황도 포착된다. 2016년 방글라데시 중앙은행을 비롯해 올해도 이미 대만을 비롯한 여러 지역에 대한 공격이 이어졌다.



보안 업계 관계자들은 “아직 구체적인 증거가 나오지는 않았으나, 미국·러시아 등 해외 보안 전문가들도 북한이 대북 금융제재 속 외화벌이를 위한 공격방식에 관심이 크다는데는 동의하고 있다”고 전했다.

제3국의 기업이나 정부기구, 주요 인물 등에 대한 공격 시도도 감지된다. 2016년 말 국제사회의 대북 금융제재로 당시 이집트 기업 오라스콤이 평양에서 운영하던 오라뱅크 평앙지점의 철수를 결정한다. 이후 철수 작업이 막바지에 이른 지난해 5월, 업무연락 이메일에 악성코드를 심어 발송한다.

오라스콤은 북측 지역에서 이동통신사업을 진행하는 이집트 기업으로, 오라뱅크 등 계열사까지 진출시키며 북측 당국과 긴밀한 관계를 유지해온 협력 상대였다. 하지만 철수를 결정하자 갑작스레 공격했다.

문종현 이스트시큐리티 침해대응센터(ESRC)장은 “정상적인 업무연락인 것처럼 위장해 이메일을 통한 공격을 시도한 것으로 보인다”며 “사이가 좋을 때는 공격을 하지 않지만, 사이가 나빠지자 공격을 한 상황”이라고 말했다.

미국 보안업체인 파이어아이도 북 해킹 공격 집단이 중동의 한 국가의 고위 인사에 대한 공격 시도가 있다고 밝힌 바 있었다. 지난해 진행된 공격에 대한 분석 결과 당시 북측은 해당 국가와 무기 거래를 논의하다 협상이 틀어지자 이를 담당하던 고위 인사의 계정 등에 대한 공격을 진행했다고 파이어아이 연구팀은 설명했다.

이런 흐름은 앞으로 이어질 남북경협 과정에서도 우리 기업들의 주의해야 할 사항으로 보인다. 평화 분위기에서는 별다른 공격 시도가 없겠지만, 어떤 요인이건 사이가 틀어질 경우 공격 시도가 이어질 수 있다는 의미로 볼 수 있다는 지적이 나온다.

팀 웰스모어 파이어아이 아·태지역 위협정보분석 디렉터는 “북 해킹 세력은 (유명 소프트웨어 개발사인)어도비 프로그램의 취약점을 직접 찾아내 활용할 정도의 역량을 갖췄다”며 “긴장이 아닌 평화 시기에도 세계적으로 사이버 상의 첩보활동은 계속되고 있다”고 말했다.

지난 9일 열린 국방부 주최 ‘2018 국방사이버안보컨퍼런스’에서 이상민 국회의원(더불어민주당)이 축사를 하고 있다. 이상민의원실 제공


Copyright ⓒ 이데일리. All rights reserved.