[매일일보] 국가 주요 부처와 기관에 대해 북한소속으로 추정되는 해커의 기밀 유출 공격이 최근 수년에 걸쳐 계속됐다는 주장이 12일 국내 정보보안 업체 하우리와 러시아의 유명 컴퓨터백신업체인 카스퍼스키랩에 의해 제기됐다.
하우리는 이날 보도자료를 통해 “북한 소속으로 추정되는 해커 조직이 2011년부터 3년간 국가 주요 기관과 연구 기관을 상대로 정보수집을 위한 사이버 첩보 활동을 해왔다”며, “이러한 위협정황 정보를 여러차례 정부기관과 공유했다”고 밝혔다.
하우리에 따르면 공격을 받은 기관에는 정보 수집을 위한 악성코드가 설치됐고 일부 기밀 사항은 실제로 유출되기도 했다. 해커 조직은 주로 국방, 외교, 통일 관련 정부 부처나 관련 기관의 전·현직 원장, 연구원, 장관 후보자를 노렸다.
공격은 보안 관리가 허술한 틈을 노려 전자우편(이메일)으로 악성코드가 담긴 한글 문서 파일이나 행사 초청장을 보내는 식으로 주로 이뤄졌다. 전자우편은 정상적인 전자우편과 구분되지 않도록 명령제어(C&C) 서버를 사용해 보냈기 때문에 탐지가 어려웠던 것으로 보인다.
문제의 기밀 탐지 행위가 북한 소행으로 의심되는 가장 큰 이유는 악성코드에 사용된 암호화 기법이 기존에 북한의 소행으로 알려진 악성코드와 상당히 비슷하고, 악성코드 개발 경로와 전자우편 명령어에 한글이 사용됐다는 점이다.
특히 전자우편 명령제어를 맡은 해커 조직 관리자의 인터넷 프로토콜 주소(IP)도 국내에서 북한 김정일 일가를 찬양하는 글을 올린 IP와 일치한다고 하우리 측은 설명했다.
이날 카스퍼스키랩 한국 지사도 “국내 주요 기관을 노린 사이버 스파이 활동을 발견했다”며 “공격 주체는 북한과 관련이 있다”고 밝혔다. 사이버 스파이 활동은 ‘Kimsuky’로 불리며 통일부, 세종연구소, 국방연구원, 현대상선 등을 포함한 국내 주요 정부 기관과 기업을 노렸다.
공격 세력은 악성코드에 감염된 전자우편을 통해 자판(키보드) 입력 기록 정보, 디렉터리 목록, 한글 문서를 빼간 것으로 분석됐다. 악성 코드에는 ‘공격’, ‘완성’처럼 한국어 문자열이 포함됐으며 IP주소는 북한과 연결된 인터넷 회선이 발견된 중국 업체로 나왔다.
카스퍼스키랩 측은 “4월 3일 스파이 활동의 초기 징후를 감지했고 5월 5일에 Kimsuky 트로이목마 샘플을 발견했다”며 “대한민국의 주요 기관을 대상으로 한 제한적이고 고도로 표적화된 공격”이라고 분석했다.
