韓 해킹한 자료로 공장·지방개발 하려는 北... 北해커들 이곳 노린다

임종철 디자이너 /사진=임종철 디자이너

국내 건설·기계 산업 관련 단체와 지방자치단체 공무원을 대상으로 한 북한 해커 그룹의 해킹 공격이 전년 대비 급증했다는 경고가 나왔다. 우리나라에서 훔쳐간 건설·기계 및 도시건설 분야 자료들을 자국내 공업공장 건설과 지방발전 계획에 사용하려는 게 아니냐는 관측도 나왔다. 북한 정찰총국 지시로 움직이는 것으로 알려진 해커그룹 김수키(Kimsuky)와 안다리엘(Andariel) 등 2개 해킹 조직이 같은 시기에 동일한 정책 목적을 달성하기 위해 특정 분야를 집중 공격하는 것은 이례적인 만큼 철저한 대비가 필요하다는 당부도 있다.

국가정보원, 검찰, 경찰청, 국군방첩사령부, 사이버작전사령부 등으로 구성된 사이버안보 정보공동체는 5일 '북한 해킹 조직의 건설·기계 분야 기술 절취 주의'라는 이름의 사이버 보안 권고문을 통해 "북한의 해킹 사례는 개인 부주의 때문이 아니라 홈페이지와 정보보안 소프트웨어의 취약점으로 인해 발생했다"며 "앞으로도 북한 해킹 조직이 서비스·제품 취약점을 지속적으로 노릴 것으로 전망되는 만큼 조직 구성원과 더불어 조직의 IT·보안 담당자의 피해 완화 노력이 중요하다"고 밝혔다.

국정원 등에 따르면 올 1월 김수키는 국내 건설 분야 직능단체 홈페이지를 통해 악성코드를 유포했다. 악성코드는 홈페이지 로그인에 사용되는 보안 인증 소프트웨어에 숨겨져 있었다. 이 때문에 이 홈페이지에 접속한 지자체나 공공기관, 건설기업의 관련 업무 담당자 PC가 대거 악성코드에 감염됐다. 소프트웨어 개발·유통 등 과정에 침입해 악성코드를 사용자 기기에 감염시키는 '공급망 공격'과 함께 사용자가 자주 방문하는 웹사이트에 악성코드를 숨겨두고 사용자가 해당 웹사이트를 방문할 때 악성코드에 감염되도록 하는 '워터링홀' 공격이 병행됐다.

공격자는 홈페이지 로그인시 보안 강화를 위해 설치하는 필수 프로그램 5개 중 1개를 변조해 악성코드를 숨겼다. 변조된 보안인증 소프트웨어는 D2이노베이션사가 소유한 합법적인 인증서로 서명돼 있어 일부 웹브라우저나 백신의 탐지를 피했다. 이 악성코드는 시스템 정보를 수집하고 사용자 화면을 캡처하는 등 기능을 보유했다. 네이버 웨일이나 구글 크롬, 마이크로소프트 엣지 등 브라우저에 저장된 자격증명과 쿠키, 북마크, 히스토리 등을 수집하기도 했다. 김수키 조직은 유효한 디지털 인증서를 사전에 훔쳐내 변조된 소프트웨어 파일에 서명하고 정상인증 소프트웨어와 함께 유포하는 등 치밀한 준비 작업을 거친 것으로 확인됐다. 이들의 해킹 공격은 건설분야 공직자 해킹을 기반으로 주요 건설사업 정보와 사업에 참여한 기업의 기술자료를 훔치기 위한 것으로 추정됐다.

올 4월에는 안다리엘 조직이 국내 정보보안 소프트웨어(가상사설망, 서버보안)에 대한 취약점을 악용해 업데이트 파일을 악성코드로 교체·실행하는 수법으로 건설·기계업체에 원격제어 악성코드를 유포했다. 공격자는 사전에 VPN(가상사설망) 정보보안 소프트웨어의 기능 중 클라이언트와 서버간 통신 프로토콜에 존재하는 취약점, 즉 업데이트시 인증절차가 미흡한 점을 노렸다. 공격자는 정상서버에서 발신한 것으로 위장된 통신패킷(http)을 사용자의 PC에 전송했다. 사용자 PC의 VPN 클라이언트는 통신패킷 검증 과정 미흡으로 이를 정상 서버가 보낸 통신으로 인식했다. 사용자가 정상 VPN 서버가 아닌, 공격자의 C2 서버로 업데이트 파일을 요청하면 공격자는 C2서버에 VPN 서버로 위장한 프로그램을 동작시켜 클라이언트를 속였다. 공격자의 C2 서버에서 원격제어 악성코드가 사용자 PC에 전송되면 클라이언트는 이 파일을 실행했다.

국정원 등은 △조직 구성원 대상 지속적인 보안 교육 실시 △일반 구성원 및 IT조직 대상 맞춤형 교육 실시 △운영체제 및 응용 프로그램에 대한 최신 버전 유지 및 백신 업데이트, 실시간 탐지 설정 △소프트웨어 배포에 대한 엄격한 승인 정책 수립 등 조치를 취할 것을 당부했다.