2년간 대기업 대상 지속공격 수행…속속 드러나는 ‘사이버테러’ 정황

북한으로 추정되는 공격자가 우리나라를 상대로 한 사이버테러 수준의 공격을 장기간 시도했던 정황이 드러났다.

북한의 4차 핵실험이 이뤄진 지난 1월 이후 정부·관련기관, 보안업계에서 지속적으로 경고했던 사이버테러 위협이 다양한 수법으로 광범위하게 이뤄졌다는 사실이 최근 경찰과 검찰의 수사결과 속속 확인되고 있다.

지능형지속위협(APT) 수준의 대기업 대상 사이버공격, 청와대 등 국가기관과 방송사 등을 사칭한 악성 메일 무더기 발송, 금융권에서 광범위하게 사용되는 금융보안 프로그램 코드서명 탈취와 해당 업체 전산망 해킹 등 그 수법과 대상이 다양하다.

경찰청 사이버안전국은 13일 북한이 대기업 두 곳(한진, SK)의 계열사 전산망을 해킹해 전산망을 장악하고 방위산업 관련 내부문서 등 중요자료를 무더기로 유출했다는 수사결과를 발표했다.

경찰에 따르면, 국내 다수의 대기업에서 사용하고 있는 기업용 PC관리시스템의 취약점을 발견해 두 그룹사 전산망을 해킹, 전산망 통제권과 문서를 탈취한 후 전산망 마비 공격 등을 준비해온 것으로 파악했다. 이들을 대상으로 한 해킹은 지난 2014년 7월부터 시도된 것으로 나타났다.

사이버안전국 사이버수사과는 북한의 4차 핵실험 직후 예상되는 사이버테러를 차단하기 위해 사전 탐지 활동을 진행하던 중 지난 2월 북한에서 제작한 것으로 추정되는 악성코드 관련 첩보를 입수해 수사를 진행했다.

수사기간 동안 북한이 제작한 33종의 악성코드를 확보해 분석하고, 16대의 공격서버를 확인했다. 피해그룹사의 문서를 탈취한 후 삭제한 흔적을 발견해 유출된 문서 4만2608개를 복원했다. 유출된 문서는 방위산업 관련정보 등 4만187건, 통신설비 등 관련자료 2421건이다.

이 과정에서 북한 평양 류경동 소재 IP에서 이들 기업을 대상으로 업무용 파일 탈취 등의 행위가 이뤄진 사실을 확인했다. 이 IP는 지난 2013년 ‘3.20 방송·금융 전산망 사이버테러’ 때 사용했던 공격 IP와 동일하다.

공격자들은 원격제어, 정찰, 해킹 기능이 있는 다양한 악성코드를 제작했다. 주로 중소기업, 대학연구소, 개인홈페이지 등 보안에 취약한 서버를 장악해 공격서버로 활용한 사실도 경찰은 확인했다.

그룹사 해킹 사이버테러 개요도
출처 : 경찰청 사이버안전국
그룹사 해킹 사이버테러 개요도2
출처 : 경찰청 사이버안전국

경찰청은 “북한은 국가적 규모의 사이버테러를 시도하기 위해 장기간 사전 준비 작업을 하고 있었다”며 “일부 그룹사 서버와 PC 통제권을 탈취한 상태에서도 즉시 공격하지 않고 이를 은닉시켜 둔 채, 또 다른 사이버테러 공격 대상을 확보하기 위해 지속적으로 해킹을 시도해 온 사실이 확인됐다”고 밝혔다.

경찰은 북한이 다수의 사이버테러 대상을 폭넓게 확보한 후 동시에 공격을 가해 국가 규모의 혼란을 노린 것 외에도 산업·군사기밀에 관한 주요 문서를 장기간에 걸쳐 지속적으로 탈취하기 위한 목적을 갖고 있을 가능성이 높은 것으로 분석하고 있다.

경찰청은 북의 사이버공격 대상이 주요 기업까지 확대되는 사실에 주목, 앞으로도 주요 공공기관과 기업에 대한 북의 사이버 공격을 조기에 탐지하고 사전 차단하는 활동에 주력해 나갈 계획이다.

이에 앞서 경찰청은 지난 1월 SBS, MBC 등 국내 방송사 사내 메일 계정을 사칭해 박근혜 대통령을 음해하는 내용으로 3만8988명에게 발송한 사건이 북한 소행이라는 수사결과를 최근 발표하기도 했다.

사칭 이메일에는 박 대통령이 “북한의 핵은 우리민족의 핵이고 힘입니다”라고 말하는 것처럼 편집된 유튜브 동영상 링크가 담겨 있었다. 고도의 사이버 심리전으로 해석된다. 경찰은 이를 두고 ‘사이버삐라’라고 지칭하기도 했다.

이 사건 수사 과정에서 지난 1~2월에 대학교수를 사칭해 악성프로그램이 첨부된 이메일을 방송사 기자 등 83명에게, 현직 경찰청 사이버수사관을 사칭해 경찰 마크가 삽입된 악성 프로그램이 첨부된 이메일을 대북 관련 인사 48명에게 각각 발송했던 사실도 확인했다.

경찰은 범행에 사용된 경유서버와 악성코드 제어서버 등을 분석한 결과, 모두 북한에서 접속한 사실을 확인했으며, 접속 IP들도 3.20. 사이버테러 당시 북한에서 접속한 IP 대역과 일치한다는 점을 북한 소행으로 판단한 주요 근거로 제시했다.

사칭메일 사건 개요도jpg
출처 : 경찰청 사이버안전국

지난 2월에도 경찰청은 청와대, 외교부 등 정부기관과 포털을 사칭해 총 759명에게 악성 이메일을 발송한 사건도 북한 해킹조직 소행이라고 발표한 바 있다.

한편, 올해 초 이슈화됐던 금융보안 프로그램의 코드서명 해킹 사건 역시 우리나라 주요 전산망 마비 등 사회혼란을 노린 북한 해킹조직에 의한 사이버테러 시도였던 것으로 결론 내려졌다.

개인정보범죄 정부합동수사단은 지난달 31일 이 사건 수사결과, 북한 해킹조직이 해당 업체 내부전산망을 해킹해 탈취한 전자인증서를 이용해 위조된 코드서명이 탑재된 악성 프로그램을 10여개 기관 PC에 유포한 사실을 확인했다고 밝혔다.

합수단에 따르면, 해당업체의 서버가 감염된 지난해 11월 30일 즈음부터 지난 1월 28일 사이에 북한 소재 IP가 총 26회 접속한 것으로 파악됐다. 또 악성프로그램 명령제어(C&C) 서버에도 북한 소재 IP가 총 6회 접속한 것을 파악했다.

이밖에도 해당업체 직원 사내 이메일로 악성프로그램을 탑재한 ‘남북통일에 대함’이라는 제목의 이메일이 발송되기도 했다. 첨부된 악성 프로그램 C&C 서버 도메인은 북한과 관련된 ‘dprk.hdskip.com’인 것으로 확인됐다.

다만 이 사건으로 인한 추가 피해는 발생하지 않은 것으로 나타났다. 국가정보원, 한국인터넷진흥원, 금융보안원과 보안업체가 공조해 신속한 조치를 취해 자칫 발생할 수 있는 대형 보안사고를 막을 수 있었다는 평가가 나왔다.

보안업체 코드서명 탈취 수사
출처 : 개인정보범죄 정부합동수사단

대검찰청은 이 사건을 계기로 금융전산망 해킹, 대규모 개인정보 유출 등 금융기관을 대상으로 한 사이버범죄에 효과적으로 대응하기 위해 금융보안원과 업무협약(MOU)을 체결했다.

지난 1월 북한의 4차 핵실험 이후 정부와 국가사이버안전센터, 한국인터넷진흥원(KISA) 등 관계기관, 보안업계는 북한이 우리나라 정부·기관과 기업 등을 대상으로 다각도로 사이버테러를 시도하고 있다고 지속적으로 경고해 왔다.

4차 핵실험 이후 남북관계 긴장감이 크게 높아진 이후 정부는 사이버테러 발생 가능성을 염두에 두고 비상대응체제에 들어갔다.

대표적으로 국가정보원 국가사이버안전센터는 1월 8일 사이버위기 ‘관심’ 경보를 발령한 데 이어 한 달 뒤인 2월 11일 ‘주의’ 단계로 격상했다.

지난 3월에는 국가정보원 주관으로 국무조정실, 미래부, 금융위, 국방부 등 14개 부처 국장급이 참석한 가운데 긴급 ‘국가사이버안전 대책회의’를 개최하고 각 기관의 대응태세를 점검하기도 했다.

이날 회의에서 국정원은 “북한이 4차 핵실험 이후 잇단 해킹 공격을 통해 우리의 사이버공간을 위협하고 있으며, 대규모 사이버테러를 준비하고 있는 정황도 포착되고 있다”며 관계기관들이 긴장감 속에서 대응태세를 유지해 줄 것을 당부했다.

국회의원 총선거가 있었던 지난 4월과 북한 노동당 7차 대회가 열리기 직전까지 북한발 위기감은 최고조에 올랐다. 사이버위기 ‘주의’ 경보는 지난 5월 11일부로 ‘관심’ 단계로 한 단계 낮춰졌으며, 현재 이 상태가 유지되고 있다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

관련 글

첫 댓글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다