Home > 전체기사
해킹 사고 발생 시 배후 조직이나 국가를 어떻게 지목할까?
  |  입력 : 2020-11-11 13:49
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
사용하는 언어나 코딩 시 버릇, 공격 대상 및 방식, 실수로 노출한 IP 등으로 추정
한국은 오랜 기간 이뤄진 북한의 사이버 공격으로 쌓인 데이터가 많아 더 정확한 분석 가능해


[보안뉴스 이상우 기자] 최근 몇 달 사이에 국제 해킹 조직 활동이 눈에 띄게 늘었다. 특히 북한과 연계한 것으로 보이는 조직 ‘탈륨(Thallium)’이 활발하게 움직이고 있다. 올해 8월에는 언론사 기자를 대상으로 국내 대형 포털의 피싱 사이트를 제작해 계정을 탈취하려는 시도가 있었고, 같은 달 말에는 대북 분야 종사자를 상대로 국내 대기업의 클라우드 사진 저장 서비스를 사칭해 피싱 이메일을 보내기도 했다.

[이미지=utoimage]


9월 초에는 개성공단 등 학술 연구논문 투고를 사칭해 북한 전문가를 노린 공격을 시도한 바 있으며, 10월 초에는 통일부 북한인권기록센터로 위장해 대북관련 단체를 대상으로 스피어피싱을 시도하기도 했다. 불과 지난주에도 미국 대선 결과 및 향후 대북 정책 변화 등을 예상한 언론사 내부 문건으로 위장해 공격하는 등 올해 8월부터 현재까지 한국을 노린 공격을 탐지한 것만 7건이다.

국내 보안 전문 기업 이스트시큐리티는 이러한 탈륨의 공격 동향을 분석하면서 공격 방식의 유사성 등을 통해 북한의 해킹조직인 ‘김수키(Kimsuky)’와 동일한 조직으로 추정하고 있다. 정부, 특히 북한이 지원하는 것으로 보이는 국제 해킹 조직은 상당히 많다. 대표적인 조직이 라자루스(Lazarus)다. 라자루스는 ‘워너크라이’라는 랜섬웨어 공격으로 유명세를 탔으며, 특히 국제적으로 해외 금융권이나 방위산업업체를 주요 표적으로 삼고 있다.

앞서 언급한 김수키(Kimsuky)는 올 한해 ‘북한 소식통’을 사칭하며 언론사, 대북단체, 북한 전문가 등을 주로 공격했으며, 한국 역시 공격 대상이었다. 공격 대상을 통해 대북 관련 기관 및 민간단체에서 정보를 수집하고 있음을 유추할 수 있다. 금성121은 올해 총선과 관련한 이슈로, 당시 국회의원 후보로 출마한 탈북 고위간부의 스마트폰을 해킹해 정보 유출을 시도한 것으로 알려졌다. 당시 이를 탐지한 이스트시큐리티는 북한식 한글을 사용한 악성 앱 등을 이유로 북한이 배후에 있다고 추정했다. 특히, 이들이 유출한 파일을 저장하는 서버에는 해커들이 자체 테스트를 진행하며 녹음한 북한 라디오 방송 파일 역시 존재하는 등 정황 증거가 존재했다.

[이미지=utoimage]


그렇다면 보안 전문가는 해킹 등 외부 공격이 발생했을 때 어떤 근거로 특정 국가나 조직을 지목할까? 이스트시큐리티 시큐리티대응센터(ESRC) 문종현 센터장은 특정 지역에서 사용하는 언어나 코딩 시 나타나는 버릇, 공격 대상 및 방식, 실수로 노출한 IP 등을 종합적으로 검토해 국가나 조직을 지목할 수 있다고 설명했다. 특히, 북한으로 추정하는 공격의 경우 같은 언어를 쓰지만 표현에서 차이가 있는 우리나라가 더 정확한 분석이 가능하다고 덧붙였다.

한국의 경우 오래 전부터 북한의 사이버 공격을 받았다. 공식적인 기록을 살펴보면 2009년 발생한 일명 ‘7.7 디도스’로 청와대, 네이버, 다음 등 주요 사이트가 공격당했으며, 해당 사건에 대해 정부 차원에서 공식적으로 조사하고 북한의 소행으로 추정한다고 발표한 바 있다. 2012년에는 국내 언론사 홈페이지를 해킹해 정치적 목적으로 보이는 사진으로 화면을 교체한 바 있으며, 2013년에도 청와대 홈페이지를 해킹해 대통령 사진을 바꾸기도 했다.

공격 대상 역시 북한이탈주민 및 대북 공공/민간단체 등으로, 다른 국가의 해커가 굳이 공격할 이유가 없는 곳이다. 예를 들어 통일부에서 운영하는 북한이탈주민정착지원사무소는 북한이탈주민이 국내 정착을 위해 일정 기간 교육을 받는 곳으로, 이 곳 역시 몇 차례 해킹을 당해 정보가 유출된 바 있다.

공격 초기에는 지역을 추측할 수 있는 IP를 그대로 노출하는 등 미숙함을 보이기도 했으며, 피싱 메일에는 ‘인차 연락 드리겠습니다(빨리 연락 드리겠습니다)’ 같은 표현이나 지령(커맨드), 봉사기(서버) 등 북한식 정보통신 용어를 사용하기도 했다. 이렇게 쌓아온 데이터와 공격 양상 등을 종합적으로 분석했을 때 북한 등의 특정 국가를 배후로 지목할 수 있다.

▲이스트시큐리티 ESRC 문종현 센터장[사진=보안뉴스]

ESRC 문종현 센터장은 “특정 국가의 공격이라고 발표할 경우 이를 정치적으로 해석하는 경향이 있지만, 이미 해외 보안기업의 보고서나 국내 기관의 조사를 통해 공식 확인된 사실이다. 한수원 해킹으로 잘 알려진 김수키의 경우 러시아 보안기업이 우리나라 공격 사례를 통해 이들을 북한 조직으로 추정해 보고서를 발표했다. 2014년 발생한 라자루스의 소니픽처스 해킹에도 과거 청와대 홈페이지 해킹에 쓰였던 코드가 그대로 쓰이는 등 유사점이 많다”고 말했다.

또한, 그는 “최근 북한 해킹 조직에 다양한 조직명을 붙이고 있지만, 큰 의미는 없다. 어차피 특정 국가에서 조직적으로 움직이고, 개편이나 인사이동을 통해 구성원이 바뀌기도 한다. 김수키에서 활동하던 해커가 금성121로 이동할 수도 있다는 의미다. 사건사고를 관리하는 측면에서는 조직명을 나눌 수 있지만, 사람이 하는 일인 만큼 얼마든지 위장하고 조작할 수도 있다. 이 때문에 나무(개별 조직)가 아닌 숲(배후 국가)을 봐야 한다”고 말했다.

마지막으로 “6.25 전쟁처럼 지금까지 일어난 사이버 공격 역시 잊어서는 안 되는 사고이며, 이러한 역사적 배경을 바탕으로 더 큰 공격에 대비해야 한다. 사이버 공격은 집에 도둑이 든 것과 다르게 흔적을 남기지 않아 피해 기업이 피해 사실조차 인지하지 못하는 특수성이 있다. 이 때문에 민관이 합동해 공격에 대응하고, 특히 민간 기업이 국민을 적극적으로 보호할 수 있는 제도적 발판이 필요하다”고 덧붙였다.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 잇따른 기밀 유출 사건으로 인해 종이유출차단방지(출력물) 보안 솔루션의 도입 필요성이 높아지고 있는데요. 해당 솔루션 도입을 위한 비용은 어느 정도가 적정하다고 보시나요?
2천만원 이하
5천만원 이하
1억원 이하
1~2억원 이내
2억원 이상