Home > 전체기사
[6.25사이버테러 5주년] “北 추정 해커, 6.25때 악성코드 여전히 활용”
  |  입력 : 2018-06-25 15:58
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
6.25사이버테러 때 사용된 악성코드 변종 곳곳에서 출현하며 악용
만·관 협업 가능한 사이버공조체계 구축, 관련 법제도 마련 필요성
보안업계 선순환 생태계 조성 위해 인력 양성 및 인프라 구축 투자 중요


[보안뉴스 김경애 기자] 오늘은 6·25전쟁 제68주년이 되는 날이자, 6.25사이버테러 5주년이다. 현재도 북한 추정 사이버공격은 끊임없이 포착되고 있다. 남북 평화 무드 속에서도 물밑에선 사이버 첩보전과 가상화폐 거래소를 노린 공격이 좀처럼 줄어들지 않고 있다.

▲6월 북한 악성코드 공격 분석 흐름도[이미지=이슈메이커스랩]


1. 6.25사이버테러 당시 악성코드, 지금도 ‘악용’
2013년 6월 25일. 청와대 웹사이트를 비롯해 언론사 등 국내 여러 사이트 화면이 변조되는 등 디페이스 해킹이 발생했다. 방송사, 금융권 전산 시스템이 마비된 3.20사이버테러가 발생한 지 불과 3개월 만의 일이다. 그로부터 5년이 흐른 지금 북한 추정 사이버공격은 현재 진행형이다. 2014년 11월 S픽처스 해킹, 2014년 12월 H사 해킹, 2015년 9월 H그룹 전산망 침투, 2016년 7월 인터넷쇼핑몰 I사 개인정보 유출사건, 2017년 가상화폐 거래소 공격 등 해킹 사고는 끊이지 않고 있다.

특히, 6.25사이버테러 당시 언론사 웹사이트를 공격한 악성코드의 변종이 5년이 지난 현재까지 국내에 출현하는 양상이다.

이와 관련 사이버전 악성코드 전문추적그룹 이슈메이커스랩(리더 Simon Choi)은 “2013년 6.25사이버테러 당시 언론사를 공격했던 악성코드의 최신 변종 시리즈들이 올해도 여전히 발견되고 있다”며 “특히, 올해는 남북 및 북미 정상회담 등이 진행되며 긴장 상태가 완화되고 있지만, 사이버상에서는 여전히 북한 추정 해커조직이 유포한 것으로 보이는 악성코드가 지속 발견되고 있다”고 밝혔다.

이어 이슈메이커스랩 측은 “북한 입장에서도 큰 이슈가 될만한 해킹은 자제하겠지만 정보를 수집하는 악성코드는 지속적으로 유포할 수 있으므로, 이에 대한 신속한 정보수집 및 공유가 필요하다”고 강조했다.

2. 동시다발적인 공격 활동 ‘활발’
특히, 올해 상반기는 이례적이라고 할 만큼 외화벌이 조직부터 탈북자 감시, 정보탈취와 같은 첩보전 등이 동시다발적으로 진행되는 양상을 보였다. 공격 방법도 한글 취약점을 악용해 악성코드를 심은 악성메일을 발송하는 스피어피싱에서부터 추적을 피하기 위해 고전적인 수법을 이용한 피싱 공격, 액티브X 취약점과 파라미터 취약점 등 각종 취약점을 이용한 공격 등이 다각도로 진행됐다.

이에 대해 보안업계의 한 관계자는 북한 추정 사이버공격 양상에 대해 “북한으로 추정되는 여러 공격조직이 동시다발적으로 활동하고 있다”며 “극히 이례적인 상황”이라고 주목했다. 특히, 이전보다 정교화된 피싱 공격이 자주 악용되고 있는 것으로 드러났다.

3. 정보탈취 위한 사이버첩보전 ‘치열’
남북정상회담부터 북미정상회담까지 올해 상반기는 한반도 평화 분위기가 이어졌지만 북한의 사이버공격은 첩보전으로 방향이 전환됐을 뿐 공격은 여전했다. 지난 4월 27일 남북정상회담을 앞두고 벌어진 스피어피싱 공격, 6월 12일 싱가포르 북미정상회담 기간중 외교·안보·대북·언론 관계자들을 대상으로 정보탈취 목적으로 감행된 스피어피싱 공격 등이 대표적인 예다.

이와 관련 보안업계 관계자 “6.12 북미정상회담의 핵심 정보를 염탐하기 위한 움직임이 포착됐다”며 “6월 8일, 6월 12일 북한 추정 해커의 활동이 포착됐으며, 6.12 북미정상회담 첩보전에 활용된 공격자의 명령제어 서버 일부가 업데이트 된 게 포착되는 등 그들의 행보는 지속되고 있다”고 밝혔다.

이보다 앞서 지난 4월부터 5월까지 한국의 외교·안보·통일 분야 연구를 수행하는 싱크탱크 및 대북단체, 군 관련 웹사이트를 해킹해 악성코드를 심는 워터링 홀(Watering Hole) 공격이 감행됐다고 이스트시큐리티 시큐리티대응센터(이하 ESRC)는 밝혔다.

4. 외화벌이를 위한 암호화폐 거래소 노려
암호화폐 거래소와 거래소 회원들을 노린 각종 피싱, 스피어피싱 공격도 곳곳에서 발생했다. 최근 빗썸이 해킹됐다는 사실을 공지하면서 공격 배후에도 관심이 모아지고 있는 가운데, 북한 추정 해커들과의 연관성도 주목되고 있다.

보안업계에 따르면 국내 가상화폐 거래소 공격에 동원된 해커조직 라자루스와 안다리엘 등이 국내에서 동시다발적으로 활동한 정황이 탐지됐다. 특히, 본지가 최근 보도한 빗썸 이용자들을 노린 이메일 공격과 피싱 공격의 경우 북한의 사이버공격 코드와 유사하거나 일치하는 경우가 드러나기도 했다.

이와 관련 북한 추정 사이버공격을 전문적으로 추적·분석·연구하는 보안전문가는 “6월 21일 밤 11시경 제작된 추가 변종이 발견됐다”며 “북한 추정 해커조직인 라자루스 시리즈 공격은 현재도 계속 진행중”이라고 밝혔다.

5. 취약점 이용 공격 ‘지속’
특히, 북한 추정 해커조직은 취약점 악용 공격과 사회공학적 기법의 스피어피싱, 그리고 고전적인 피싱 공격 등을 사용했다. 특히, 액티브X 취약점을 이용한 공격의 경우 무려 12년간 감행됐던 사실이 최근 드러나 취약점 관리 부실이 도마 위에 올랐다.

이와 관련 한 보안전문가는 “지난 2007년부터 2018년 5월까지 무려 12년간 한국 소프트웨어의 액티브X 취약점 취약점을 이용, 특정 웹사이트를 통한 워터링홀 공격으로 한국 기업 및 기관 조직 내부에 악성코드를 침투시켰다”고 본지에 밝히기도 했다.

6. 인력 양성 등 보안 생태계 선순환 가능하도록 해야
이처럼 북한 추정 사이버공격은 날이 갈수록 지능화되고, 공격범위도 확대되고 있다. 이에 따라 국가안보 차원에서 보안 생태계의 선순환 발전을 위한 인프라 구축과 투자, 민관 공조 위한 체계적인 시스템 구축전략을 마련해야 한다는 의견이 제시됐다.

서울여자대학교 김명주 교수는 “이제까지 파악된 북한 사이버공격 조직의 능력은 우리가 생각하는 것보다 훨씬 더 뛰어나다. 남북간 정세 변화에서 유리한 고지를 선점하기 위한 첩보획득 수단으로서 북한은 사이버공격을 비중 있게 활용할 수밖에 없는 입장”이라며 “지금 벌어지고 있는 북한 추정 사이버공격을 일관성 있게 분석하고 통합적으로 대응할 수 있는 체계 구축과 이를 체계적으로 대응할 수 있는 보안전문 인력 양성이 무엇보다 시급하다. 또한, 앞으로 진행될 남북간 국방의제 안에 반드시 사이버공격 종식 논의를 포함해야 한다”고 설명했다.

보안업계의 한 관계자는 “과거 북한 추정 사이버공격은 군사, 안보 관련 정보 수집 및 공격 등이 중심이었으나, 2013년 3.20, 6.25사이버테러를 통해 시스템 파괴 및 사회 혼란 등을 야기하는 공격으로 변화했다. 2014년에는 사이버심리전의 기틀을 마련했으며, 2016년과 2017년에는 탈북민을 타깃으로 한 공격량이 증가했다. 또한, 관련 매체·단체 등을 타깃으로 워터링홀 공격, 정보 유출 등도 이어졌다. 특히, 과거 사이버테러 공격 경험으로 축적한 노하우로 공격범위를 점차 확대했으며, 랜섬웨어 감염 위장 등 교란작전을 펼치며 하이브리드 공격 개념으로 발전했다”고 분석했다.

이에 대한 대응책으로 이스트시큐리티 ESRC 문종현 이사는 “과거 북한 추정으로 발표된 바 있는 다양한 사이버테러의 역사를 바로 알고, 공격 위협사례에 대한 각종 DB 및 IoC 구축 등 체계적인 관리가 중요하며, 이를 기반으로 민관이 유기적으로 협력을 지속적으로 강화해야 한다”고 밝혔다. 이어 그는 “각 분야별로 전문성을 갖춘 보안인력 중심으로 연구활동을 보다 강화할 수 있도록 하고, 민관 협력을 위한 제도적 뒷받침이 필요하다. 한국은 사이버상에서 핫플레이스임에도 보안인력에 대한 관심과 투자는 상대적으로 열악한 만큼 우수한 보안전문가들이 한국에 뿌리내릴 수 있도록 처우개선 노력도 필요하다”고 말했다.

또한, 빛스캔 임채호 연구소장은 “취약점을 지속적으로 제거하는 업데이트와 함께 사회공학적 수법에 이용자들이 속지 않도록 하기 위한 교육훈련을 강화해야 한다”고 강조했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)