Home > 전체기사
[6.25사이버테러 5주년] “北 추정 해커, 6.25때 악성코드 여전히 활용”
  |  입력 : 2018-06-25 15:58
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
6.25사이버테러 때 사용된 악성코드 변종 곳곳에서 출현하며 악용
만·관 협업 가능한 사이버공조체계 구축, 관련 법제도 마련 필요성
보안업계 선순환 생태계 조성 위해 인력 양성 및 인프라 구축 투자 중요


[보안뉴스 김경애 기자] 오늘은 6·25전쟁 제68주년이 되는 날이자, 6.25사이버테러 5주년이다. 현재도 북한 추정 사이버공격은 끊임없이 포착되고 있다. 남북 평화 무드 속에서도 물밑에선 사이버 첩보전과 가상화폐 거래소를 노린 공격이 좀처럼 줄어들지 않고 있다.

▲6월 북한 악성코드 공격 분석 흐름도[이미지=이슈메이커스랩]


1. 6.25사이버테러 당시 악성코드, 지금도 ‘악용’
2013년 6월 25일. 청와대 웹사이트를 비롯해 언론사 등 국내 여러 사이트 화면이 변조되는 등 디페이스 해킹이 발생했다. 방송사, 금융권 전산 시스템이 마비된 3.20사이버테러가 발생한 지 불과 3개월 만의 일이다. 그로부터 5년이 흐른 지금 북한 추정 사이버공격은 현재 진행형이다. 2014년 11월 S픽처스 해킹, 2014년 12월 H사 해킹, 2015년 9월 H그룹 전산망 침투, 2016년 7월 인터넷쇼핑몰 I사 개인정보 유출사건, 2017년 가상화폐 거래소 공격 등 해킹 사고는 끊이지 않고 있다.

특히, 6.25사이버테러 당시 언론사 웹사이트를 공격한 악성코드의 변종이 5년이 지난 현재까지 국내에 출현하는 양상이다.

이와 관련 사이버전 악성코드 전문추적그룹 이슈메이커스랩(리더 Simon Choi)은 “2013년 6.25사이버테러 당시 언론사를 공격했던 악성코드의 최신 변종 시리즈들이 올해도 여전히 발견되고 있다”며 “특히, 올해는 남북 및 북미 정상회담 등이 진행되며 긴장 상태가 완화되고 있지만, 사이버상에서는 여전히 북한 추정 해커조직이 유포한 것으로 보이는 악성코드가 지속 발견되고 있다”고 밝혔다.

이어 이슈메이커스랩 측은 “북한 입장에서도 큰 이슈가 될만한 해킹은 자제하겠지만 정보를 수집하는 악성코드는 지속적으로 유포할 수 있으므로, 이에 대한 신속한 정보수집 및 공유가 필요하다”고 강조했다.

2. 동시다발적인 공격 활동 ‘활발’
특히, 올해 상반기는 이례적이라고 할 만큼 외화벌이 조직부터 탈북자 감시, 정보탈취와 같은 첩보전 등이 동시다발적으로 진행되는 양상을 보였다. 공격 방법도 한글 취약점을 악용해 악성코드를 심은 악성메일을 발송하는 스피어피싱에서부터 추적을 피하기 위해 고전적인 수법을 이용한 피싱 공격, 액티브X 취약점과 파라미터 취약점 등 각종 취약점을 이용한 공격 등이 다각도로 진행됐다.

이에 대해 보안업계의 한 관계자는 북한 추정 사이버공격 양상에 대해 “북한으로 추정되는 여러 공격조직이 동시다발적으로 활동하고 있다”며 “극히 이례적인 상황”이라고 주목했다. 특히, 이전보다 정교화된 피싱 공격이 자주 악용되고 있는 것으로 드러났다.

3. 정보탈취 위한 사이버첩보전 ‘치열’
남북정상회담부터 북미정상회담까지 올해 상반기는 한반도 평화 분위기가 이어졌지만 북한의 사이버공격은 첩보전으로 방향이 전환됐을 뿐 공격은 여전했다. 지난 4월 27일 남북정상회담을 앞두고 벌어진 스피어피싱 공격, 6월 12일 싱가포르 북미정상회담 기간중 외교·안보·대북·언론 관계자들을 대상으로 정보탈취 목적으로 감행된 스피어피싱 공격 등이 대표적인 예다.

이와 관련 보안업계 관계자 “6.12 북미정상회담의 핵심 정보를 염탐하기 위한 움직임이 포착됐다”며 “6월 8일, 6월 12일 북한 추정 해커의 활동이 포착됐으며, 6.12 북미정상회담 첩보전에 활용된 공격자의 명령제어 서버 일부가 업데이트 된 게 포착되는 등 그들의 행보는 지속되고 있다”고 밝혔다.

이보다 앞서 지난 4월부터 5월까지 한국의 외교·안보·통일 분야 연구를 수행하는 싱크탱크 및 대북단체, 군 관련 웹사이트를 해킹해 악성코드를 심는 워터링 홀(Watering Hole) 공격이 감행됐다고 이스트시큐리티 시큐리티대응센터(이하 ESRC)는 밝혔다.

4. 외화벌이를 위한 암호화폐 거래소 노려
암호화폐 거래소와 거래소 회원들을 노린 각종 피싱, 스피어피싱 공격도 곳곳에서 발생했다. 최근 빗썸이 해킹됐다는 사실을 공지하면서 공격 배후에도 관심이 모아지고 있는 가운데, 북한 추정 해커들과의 연관성도 주목되고 있다.

보안업계에 따르면 국내 가상화폐 거래소 공격에 동원된 해커조직 라자루스와 안다리엘 등이 국내에서 동시다발적으로 활동한 정황이 탐지됐다. 특히, 본지가 최근 보도한 빗썸 이용자들을 노린 이메일 공격과 피싱 공격의 경우 북한의 사이버공격 코드와 유사하거나 일치하는 경우가 드러나기도 했다.

이와 관련 북한 추정 사이버공격을 전문적으로 추적·분석·연구하는 보안전문가는 “6월 21일 밤 11시경 제작된 추가 변종이 발견됐다”며 “북한 추정 해커조직인 라자루스 시리즈 공격은 현재도 계속 진행중”이라고 밝혔다.

5. 취약점 이용 공격 ‘지속’
특히, 북한 추정 해커조직은 취약점 악용 공격과 사회공학적 기법의 스피어피싱, 그리고 고전적인 피싱 공격 등을 사용했다. 특히, 액티브X 취약점을 이용한 공격의 경우 무려 12년간 감행됐던 사실이 최근 드러나 취약점 관리 부실이 도마 위에 올랐다.

이와 관련 한 보안전문가는 “지난 2007년부터 2018년 5월까지 무려 12년간 한국 소프트웨어의 액티브X 취약점 취약점을 이용, 특정 웹사이트를 통한 워터링홀 공격으로 한국 기업 및 기관 조직 내부에 악성코드를 침투시켰다”고 본지에 밝히기도 했다.

6. 인력 양성 등 보안 생태계 선순환 가능하도록 해야
이처럼 북한 추정 사이버공격은 날이 갈수록 지능화되고, 공격범위도 확대되고 있다. 이에 따라 국가안보 차원에서 보안 생태계의 선순환 발전을 위한 인프라 구축과 투자, 민관 공조 위한 체계적인 시스템 구축전략을 마련해야 한다는 의견이 제시됐다.

서울여자대학교 김명주 교수는 “이제까지 파악된 북한 사이버공격 조직의 능력은 우리가 생각하는 것보다 훨씬 더 뛰어나다. 남북간 정세 변화에서 유리한 고지를 선점하기 위한 첩보획득 수단으로서 북한은 사이버공격을 비중 있게 활용할 수밖에 없는 입장”이라며 “지금 벌어지고 있는 북한 추정 사이버공격을 일관성 있게 분석하고 통합적으로 대응할 수 있는 체계 구축과 이를 체계적으로 대응할 수 있는 보안전문 인력 양성이 무엇보다 시급하다. 또한, 앞으로 진행될 남북간 국방의제 안에 반드시 사이버공격 종식 논의를 포함해야 한다”고 설명했다.

보안업계의 한 관계자는 “과거 북한 추정 사이버공격은 군사, 안보 관련 정보 수집 및 공격 등이 중심이었으나, 2013년 3.20, 6.25사이버테러를 통해 시스템 파괴 및 사회 혼란 등을 야기하는 공격으로 변화했다. 2014년에는 사이버심리전의 기틀을 마련했으며, 2016년과 2017년에는 탈북민을 타깃으로 한 공격량이 증가했다. 또한, 관련 매체·단체 등을 타깃으로 워터링홀 공격, 정보 유출 등도 이어졌다. 특히, 과거 사이버테러 공격 경험으로 축적한 노하우로 공격범위를 점차 확대했으며, 랜섬웨어 감염 위장 등 교란작전을 펼치며 하이브리드 공격 개념으로 발전했다”고 분석했다.

이에 대한 대응책으로 이스트시큐리티 ESRC 문종현 이사는 “과거 북한 추정으로 발표된 바 있는 다양한 사이버테러의 역사를 바로 알고, 공격 위협사례에 대한 각종 DB 및 IoC 구축 등 체계적인 관리가 중요하며, 이를 기반으로 민관이 유기적으로 협력을 지속적으로 강화해야 한다”고 밝혔다. 이어 그는 “각 분야별로 전문성을 갖춘 보안인력 중심으로 연구활동을 보다 강화할 수 있도록 하고, 민관 협력을 위한 제도적 뒷받침이 필요하다. 한국은 사이버상에서 핫플레이스임에도 보안인력에 대한 관심과 투자는 상대적으로 열악한 만큼 우수한 보안전문가들이 한국에 뿌리내릴 수 있도록 처우개선 노력도 필요하다”고 말했다.

또한, 빛스캔 임채호 연구소장은 “취약점을 지속적으로 제거하는 업데이트와 함께 사회공학적 수법에 이용자들이 속지 않도록 하기 위한 교육훈련을 강화해야 한다”고 강조했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
6월 25~26일 열리는 국내 최대 규모 개인정보보호 축제 ‘2019 개인정보보호 페어’에서 가장 중점적으로 논의되어야 할 이슈는 무엇이라고 보시나요?
개인정보 손해배상책임보험(사이버 보험) 의무화
개인정보처리시스템 접속기록 보관기간 확대 등 개인정보의 안전성 확보조치 기준 개정
개인영상정보의 보호 또는 활용 위한 법제도 마련
클라우드 환경 확대에 따른 개인정보보호 이슈
이미지속 개인정보 유출 위험과 대응방안
개인정보보호 관련 한-EU 적정성 평가 논의
기타(댓글로)
      

유니뷰코리아
CCTV / 영상보안

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

동양유니텍
IR PTZ 카메라

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

보쉬시큐리티시스템즈
CCTV / 영상보안

하이크비전 코리아
CCTV / IP / NVR

한국하니웰
CCTV / DVR

원우이엔지
줌카메라

AVIBILON
영상 보안 / 출입 통제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

테크어헤드
얼굴인식 소프트웨어

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

트루엔
IP 카메라

비전정보통신
IP카메라 / VMS / 폴

디비시스
CCTV토탈솔루션

엔토스정보통신
DVR / NVR / CCTV

에스카
CCTV / 영상개선

씨오피코리아
CCTV 영상 전송장비

구네보코리아
보안게이트

두현
DVR / CCTV / IP

옵티언스
IR 투광기

KPN
안티버그 카메라

지와이네트웍스
CCTV 영상분석

티에스아이솔루션
출입 통제 솔루션

디케이솔루션
메트릭스 / 망전송시스템

옵텍스코리아
실내 실외 센서

CCTV프랜즈
CCTV

엘세븐시큐리티
정보보안

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

씨아이즈
IP 카메라 / 비디오 컨트롤

아이엔아이
울타리 침입 감지 시스템

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

엘림광통신
광전송링크

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

금성보안
CCTV / 출입통제 / NVR

두레옵트로닉스
카메라 렌즈

씨큐리티에비던스
카메라

퍼시픽솔루션
IP 카메라 / DVR

지에스티엔지니어링
게이트 / 스피드게이트

진명아이앤씨
CCTV / 카메라

유시스
CCTV 장애관리 POE

수퍼락
출입통제 시스템

대산시큐리티
CCTV 폴 / 함체 / 랙

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

글로넥스
카드리더 / 데드볼트

유니온커뮤니티
생체인식 / 출입통제

화인박스
콘트롤박스 / 배전향