이런 가운데, 최근 남북정상회담 ‘판문점 선언’이 포함된 악성파일이 발견돼 주목된다. 이 악성파일은 스피어피싱(Spear Phishing) 표적공격에 사용된 것으로 추정되고 있다.

보안업계 전문가는 “남북정상회담이 두 차례 걸쳐 이뤄졌고 북미정상회담을 앞두고 있어, 시스템 파괴 목적보다는 관련 정보수집 차원의 정찰용으로 보인다”며 “상대방 패를 봐야 게임에서 승산이 있듯이 사이버 첩보전이 활발하게 이뤄지고 있는 것으로 보인다”고 말했다.

이번에 발견된 공격은 지난 2월 ‘작전명 김수키(Operation Kimsuky)’와 비슷한 패턴을 보이고 있다. 정부차원의 후원을 받는 공격자의 한국을 대상으로 한 지능형지속위협(APT) 공격이다.

이와 관련 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터(이하 ESRC)는 29일 알약 블로그를 통해 관련 공격현황을 발표한 후 ‘작전명 원제로(Operation Onezero)’로 명명했다.

ESRC는 “일부 김수키 작전에서 사용된 공격 데이터가 금성121(Geumseong121) 위협그룹이 사용한 작전에서도 동일하게 사용된 경우가 복수로 식별됐다”며 “직·간접적으로 연계된 APT 조직이 수행 중인 것으로 판단하고 있다”고 설명했다.

국내외 보안업계에서는 김수키 작전과 금성121 위협 그룹 배후에 북한이 있을 것으로 예상하고 있다. 지난 18일 제작된 한글(HWP) 포맷의 악성파일에는 4월27일 남북정상회담 관련 내용이 포함돼 있었다. 해당 문서의 파일명은 ‘종전선언’이고, 배포용 문서설정 기능으로 암호가 설정돼 있다.

이 악성 문서는 한국의 특정 대학원 특강 자료로 표기돼 있으며 ‘제2강 가야할 길 : 통일을 지향하는 평화체제 구축’이라는 한국어 제목으로 시작된다. 북한의 핵개발과 전쟁위기 고조, 역사적인 판문점 남북정상회담(4.27) 등의 내용도 포함돼 있어, 판문점 선언 이후에 작성된 내용이라는 점을 알 수 있다.

또, 구글 드라이브를 명령제어(C2) 서버로 사용했다. 구글 드라이브 링크를 사용할 경우 일부 보안관제에서 화이트리스트로 분류, 위협 요소로 탐지되지 않기 때문이다.

ESRC는 “2014년 전력기관 위협에 사용된 취약점은 김수키 계열로 널리 알려져 있고, 금성 121 그룹과 김수키 계열의 오퍼레이션에서 중첩된 부분을 다수 발견해 동일한 그룹에서 다양한 인력이 개별 작전을 수행하고 있다는 점을 추정할 수 있다”며 “국가 차원의 지원을 받는 것으로 보이는 공격자 활동이 현재도 계속 진행되고 있다”고 전했다.

<최민지 기자>cmj@ddaily.co.kr