지난 13일 공공기관 대상으로 청와대 사칭 악성메일 유포 포착
방산업체 공격한 북한 추정 해커조직, 13일 공격 징후 탐지
한컴업데이트, 아웃룩 모듈, 인텔 드라이버, MS 프로그램 등 위장해 악성코드 유포
지난 6일 북한의 4차 핵실험 이후 북한 추정의 사이버공격이 지속적으로 포착되고 있다. 이에 따라 북한의 핵실험과 관련해 우리나라 동향을 파악하고, 기밀정보를 빼내기 위한 북한의 사이버전이 본격 시작된 것 아니냐는 우려가 커지고 있다.
박근혜 대통령이 북한 핵실험과 관련해 대국민 담화 및 기자회견이 있있던 지난 13일에도 북한의 사이버공격 시도가 잇따라 발견됐다. 지난 13일 오후 4시 20분경에는 국가 및 공공기관을 대상으로 청와대를 사칭한 악성메일이 유포된 정황이 포착됐다.
▲ 출처: 한국인터넷진흥원
발신자 계정정보는 이정규(sntongil12@daum.net), 이용주(returnkk@daum.net)이며, 메일제목은 ‘[국가안보실] 북한 4차 핵실험 관련 대응방향 의견 수렴’과 ‘청와대 외교안보실입니다. 북한 4차 핵실험관련’으로 알려졌다.
최근에는 북한의 사이버전사 계정으로 추정되는 메일로 국가안보실 및 북한 4차 핵실험 관련 내용을 사칭해서 스피어피싱 공격을 진행한 징후가 포착됐다. 계정정보는 RSH(aka Kimsuky)이며, 지난해 7월경 은밀한 취약점 공격을 수행했던 북한 사이버전사 계정으로 이번에 또 다시 이용된 것이다.
최근 방산업체를 공격한 조직 역시 지난해 말부터 지난 13일까지 활동한 정황이 포착됐다. 이들은 정보수집용 악성코드로 공격을 시도했으며, 현재 공격 방식은 분석 중인 것으로 알려졌다. 뿐만 아니라 한 방산업체의 경우 악성코드를 분석한 결과를 기준으로 서로 다른 2개의 사이버전 조직으로부터 공격받은 것으로 분석됐다.
이처럼 북한 추정의 사이버공격은 도발적인 핵실험 감행 이후 한국의 내부 동향정보를 수집하기 위해 은밀하게 진행하고 있다. 이들의 작전명은 ‘통일’로 이전과 동일하며, 이전 공격시도와 동일한 계정을 사용하고 있다.
특히, 북한에서 개발된 악성프로그램 중에는 지난 7일과 8일에 제작된 모듈도 계속 포착되고 있는 상황이다. 이에 북한의 사이버전 활동이 본격적으로 진행 중인 것 같다는 게 보안전문가들의 공통된 의견이다.
또한, 중국 정부기관 웹사이트와 한국의 웹사이트를 C&C(명령제어) 서버로 이용하는 공격도 최근 들어 활발한 움직임을 보이고 있다.
이와 관련 북한추적 전문 연구그룹 사이버워(Cyberwar) 측은 “이들은 작년 초부터 지속적으로 활동하고 있으며, 한컴업데이트나 모듈, 아웃룩 모듈, 인텔 드라이버, MS 프로그램, 네이트온 메신저 업데이트 등으로 다양현 형태의 악성코드를 제작·유포하고 있다”며 “이와 함께 한컴 취약점 자동화 도구나 GUI 기능의 원격제어 도구를 개발해 사용하고 있다”고 밝혔다.
이러한 취약점과 관련해 한글과 컴퓨터, MS사는 지난 13일 보안패치를 발표했으며, 국가정보원과 한국인터넷진흥원 역시 ‘한글’ 취약점 보안업데이트와 ‘Microsoft 보안업데이트(MS16-001~MS16-010)’ 권고를 공지했다.
이와 관련 하우리 최상명 CERT 실장은 “지난 6일 북한의 4차 핵실험 이후 북한 내의 모든 사이버조직이 활동을 시작했다”며, “웹 취약점, 한글 취약점 등 다방면으로 공작을 수행하고 있으며, 새로운 코드로 진화하고 있다”고 밝혔다.
▲자료제공: 한국인터넷진흥원
이처럼 북한의 사이버공격이 한층 활발해지면서 우리나라는 공공 분야는 물론 민간에서도 유관기관과 긴밀히 협력하며 모니터링 및 대응태세를 강화하고 있다.
한국인터넷진흥원은 14일 사이버공격에 대한 대응태세를 갖추며 실시간으로 대응하고 있으며, 국가안보실과 청와대를 사칭한 해킹메일에 주의하라는 내용을 공지했다. 또한 민간 영역에서는 관련 공격에 대한 프로파일링을 계속 수행하고 있다.
▲출처: 국가정보원
국가정보원의 사이버위기 경보단계와 한국인터넷진흥원의 인터넷침해사고 경보단계는 1시 45분 기준으로 여전히 관심 단계를 유지하고 있다.
이와 관련 순천향대 염흥열 교수는 “최근 북한이 제4차 핵실험으로 인해 남북 관계가 경직되면서 북한 입장에서는 저비용으로 최대의 효과를 낼 수 있는 사이버공격을 감행할 우려가 높다는 보안전문가들의 우려가 현실화되고 있다”며 “특히, 국내 응용 소프트웨어의 보안 취약점을 노리고 있는 것으로 보인다”고 말했다.
이어 염 교수는 “현재 진행되는 사이버공격의 효과적인 대응을 위해서는 한국인터넷진흥원과 국가사이버안전센터와의 긴밀한 공조체제 운영이 무엇보다 중요하며, 민간에서는 국내 응용프로그램 제작자, 주요 포털, 한국인터넷진흥원, 주요 보안회사의 긴밀한 정보 공유와 대응체계 가동 요구된다. 무엇보다 주요 인터넷 서비스 제공자와 응용 프로그램 제작사의 긴급 보안점검이 필요하다”고 강조했다.