침해사고/위협동향

북미정상회담 앞둔 평화 무드속, 사이버공간에선 첩보전

최민지
[디지털데일리 최민지기자] 오는 12일 싱가포르 북미정상회담 개최와 함께 종전선언 논의가 거론되고 있다. 문재인 대통령의 싱가포르 방문이 이뤄진다면 남북미 정상회담이 이뤄질 수 있다는 역사적 가능성까지 제기되고 있다.

이처럼 한반도를 둘러싼 국제정세는 종전을 향한 긍정적 급물살을 타고 있지만, 사이버정세는 사뭇 다르다. 정상회담을 앞두고 치열한 첩보전 양상을 보이며 사이버위협은 가속화되고 있다.

최근 국내를 겨냥한 사이버공격도 여러 차례 나타났다. 이 공격들은 주로 파괴적인 행위보다는 정보 수집 등 정찰의 목적성을 보이고 있었다.

최근 북미정상회담 내용을 사이버공격을 위한 미끼로 사용한 사례도 발견됐다. 시스코 탈로스는 국내 사용자들을 목표로 한 악성 한글문서(HWP)를 찾았다.

이 문서 이름은 ‘미북 정상회담 전망 및 대비.hwp’로, 한국에서 주로 사용되는 HWP 파일형식을 채택했으며, 비핵화에 초점을 맞출 것으로 예상되는 북미정상회담에 대비한 우려사항을 설명하고 있다. 이 문서를 열면 ‘NavRAT’이라는 원격 접근 트로이목마 바이러스가 다운로드된다. 이는 명령 실행 등을 포함해 다양한 동작을 수행하며 키로깅 기능을 갖고 있다.

명령을 피해 시스템에 다운로드·업로드해 실행하고 결국 키로깅을 수행하는 전형적인 RAT 공격 방식인데, 이메일을 통해 공격자와 통신하기 위해 합법적인 네이버 이메일 플랫폼을 사용했다는 점은 이번이 처음이다.

시스코 탈로스는 이번 공격에 대해 절반가량의 확신으로 ‘그룹123(Group123)’의 소행이라고 추측했다. 쉘코드, 피해자 형태, 대상지역에서 유사성을 보이고 있기 때문이다.

시스코 탈로스에서 ‘그룹123’이라고 불리는 이 공격그룹은 각 보안기업마다 스카크러프트(카스퍼스키랩), 레드아이즈(안랩), APT37(파이어아이), 금성121(이스트시큐리티) 등 다양한 이름으로 지칭되고 있다. 주로 대북 단체 및 국방 분야를 공격 대상으로 사이버 침투 활동을 하고 있으며, 북한을 배후 세력으로 추정하는 대표적인 공격그룹이다.

이스트시큐리티 사이버위협 인텔리전스 전문조직 시큐리티대응센터(ESRC) 또한 한국을 대상으로 한 지능형지속위협(APT) 공격인 ‘작전명 원제로’가 진행됐다고 밝히며, 금성121 공격그룹과 직·간접적으로 연계됐을 것이라 예상한 바 있다. 정보수집 및 정찰 목적이 강한 공격이라는 설명이다.

ESRC에 따르면 지난달 18일 제작된 HWP 형식의 악성파일이 새로 발견됐는데, 4·27 남북정상회담 관련 내용이 포함돼 있었다. 이 문서명은 ‘종전선언’이다.

스피어피싱 표적 공격에 사용된 것으로 추정되는 악성문서는 한국의 특정 대학원 특강자료로 표기돼 있고 ‘제2강 가야할 길 : 통일을 지향하는 평화체제 구축’이라는 한국어 제목으로 시작한다. 북한의 핵개발과 전쟁위기 고조, 역사적인 판문점 남북정상회담 등의 내용도 포함돼 있어, 판문점 선언 이후에 작성된 내용이라는 점을 알 수 있다.

앞서, 미국 정부는 북한의 사이버공격을 발령하기도 했다. 지난달 30일 미 국토안보부(DHS)와 연방수사국(FBI)은 해킹경보를 발령하면서 멀웨어 2종이 최소 2009년부터 미국과 전세계 항공우주, 금융, 언론기관의 정보를 탈취하고 원격조작을 해왔다고 발표했다.

그 배후로는 북한정부 산하 해킹조직 ‘히든 코브라’의 일부라며, 북한을 지목했다. 과거 갈등을 회복할 수 있는 북미정상회담을 앞둔 가운데, 미 정부에서 북한의 사이버위협 경보를 내린 것이다.

이와 함께 지난 4~5월에는 한국의 외교·안보·통일 분야의 연구를 수행하는 싱크탱크 기관 및 대북단체, 군 관련 웹 사이트를 상대로 ‘워터링 홀(Watering Hole)’ 공격이 수행됐다.

워터링 홀 공격은 사전에 공격대상에 대한 정보를 확보해 관련 분야 웹사이트를 해킹하고, 웹사이트에 악의적 취약점 코드를 삽입해 해당 사이트에 접속한 사람들만 감염되도록 만든 표적 공격이다.

ESRC는 이번 위협을 작전명 물탱크로 명명하면서, 조용하고 은밀하게 모두 한국의 특정 사이트들을 대상으로 수행된 공격이라고 언급했다. 한국 내 다수의 웹 사이트가 공격에 노출되었지만, 해당 전문분야에 속하지 않은 일반 사람들이 자주 접속하는 웹 사이트는 아니다.

이에 ESRC는 이번 공격이 특정 정부기관의 후원을 받아 정교하게 해킹을 시도하고 내부 기밀자료를 탈취하는 위협그룹이라고 판단했다.

ESRC는 “내부 시스템 및 인프라 침투에 사용된 취약점은 대부분 한국의 기업과 기관이 주로 사용되는 고유한 프로그램이 악용됐다”며 “사이버 작전처럼 국가 차원의 지원을 받는 것으로 추정되는 위협그룹의 활동은 다양한 전략 전술이 총동원되고 있고, 한국에서 주로 사용하고 있는 특정 액티브X 컨트롤 취약점을 교묘하게 맞춤형으로 결합하는 등 공격자의 위협수위가 갈수록 높아지고 있다”고 말했다.

시스코 탈로스는 “한국은 여전히, 그리고 앞으로도 공격자들의 매력적 대상으로 지속될 것”이라며 “개방적인 한국과 비밀스러운 북한의 분단 상황으로, 지정학적으로 흥미로운 지역이기 때문”이라고 전했다.

<최민지 기자>cmj@ddaily.co.kr
최민지
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널