북한을 배후에 둔 것으로 추정되는 해커 조직이 국내 공격 대상을 전방위로 확대하고 있다. 외화벌이가 주목적이다. 국가·군사·산업 분야 기밀 자료뿐 아니라 신용카드 촬영본 등 국민 개인정보까지 탈취한 사례가 대거 발견됐다.

19일 국가정보원(국정원)은 경기 분당 제2판교 사이버안보협력센터에서 백종욱 국정원 3차장 주재 언론 간담회를 진행하고 이 같은 내용을 골자로 한 상반기 사이버 위협 동향과 대응 방안을 발표했다.

공공기관을 겨냥한 사이버 공격 건수는 지속적으로 느는 추세다. 상반기 하루 평균 137만여 건에 달하는 사이버 위협이 발생했다. 이는 지난해 118만건 대비 15% 증가한 수치다. 공공·지방자치단체 등 관제 대상 2만여 곳을 조사한 결과다. 공격 주체는 북한 연계 조직이 70%로 가장 많았고 중국‧러시아 연계 조직이 뒤를 이었다.

민간 영역을 더하면 전체 사이버 위협 건수는 더 많아진다. 국정원은 이번 상반기 북한 연계 해커가 국내 신용카드 정보 1000여 건을 빼냈다고 밝혔다. 사전에 확보한 이메일 계정 정보로 특정 사이트에 로그인한 후 이와 연동된 클라우드 자료함에 접근해 보관된 신용카드 정보를 훔치는 방식이다. 이로 인해 카드번호와 유효기간, CVC 번호까지 모두 유출됐다. 국정원은 금융위원회, 개인정보보호위원회 등과 협조해 신속하게 카드 사용을 중지했다고 설명했다.

네이버 포털 사이트와 유사한 피싱 사이트를 만들어 이용자 계정 정보 탈취를 시도한 사례도 나왔다. 실제 사이트처럼 실시간으로 사이트 내 내용이 동기화되고 세부 페이지도 구성돼 있어 이용자가 속아 넘어가기 쉬운 구조였다. 국정원 관계자는 "국내 유관 기관뿐 아니라 해외 정부 기관을 통해 해당 사이트 차단을 실시했다"면서 "이러한 공격은 누구나 부지불식간에 당할 수 있기 때문에 세심한 주의가 필요하다"고 말했다.

상반기 공급망 소프트웨어(SW) 공격은 전년 하반기에 비해 두 배 이상 증가했다. 북한 배후 조직은 작년 말부터 1000만대 이상 PC에 설치된 보안인증 SW를 해킹해 다수 PC를 조종하려 했다. 또한, 250여 개 기관에 납품된 보안 제품을 해킹해 국가기관 내부망 침투를 시도하기도 했다. 국정원은 하반기에도 공급망 SW 공격이 지속될 것으로 내다봤다. 해커들이 SW 취약점을 발굴하는 한 이러한 공격은 계속되기 때문이다.

지난달에는 북한 해커가 국내 에너지 기업 해외지사 IT 분야에 위장 취업을 시도한 정황도 포착됐다. 이 과정에서 해커는 여권과 졸업증명서를 위조했다. 북한이 벌어들이는 외화 비중에서 해커의 IT사업 수주 항목은 30% 정도로 추산된다. 국정원은 외주 인력으로 일회성 프로젝트를 수주하는 수준에서 나아가 직접 취업을 시도한 만큼 기업들은 각별히 유의해야 한다고 강조했다.

공공기관을 향한 사이버 공격 수위가 높아지자 국정원은 '아무것도 신뢰할 수 없다'는 전제하에 보안 기술을 적용하는 제로트러스트 보안 정책을 추진한다. 지난해 8월에는 '한국형 제로트러스트 구축'을 국정과제로 채택하기도 했다. 국가 사이버안보 민관 협의체와 한국형 제로트러스트 아키텍처 및 가이드라인을 개발하고 있다.

더불어 내년 4월 국회의원 총선을 앞두고 이번 주 초부터 선거관리 시스템 점검에도 나섰다. 선거 결과에 악영향을 미치는 생성 AI(인공지능) 기반 빅데이터나 가짜뉴스 등 방지 영역에도 유관 기관과 협력해 탐지·차단할 수 있는 정책을 추진할 방침이다.

한편 국정원이 130개 기관을 상대로 올해 1~4월 실시한 '공공기관 정보보안 관리실태 평가'에서 우수·보통·미흡 등급을 받은 곳은 각각 25개, 80개, 25개였다. 공기업(36개)과 준정부 기관(57개), 중소형 기관(37개) 등이 조사 대상이었다. 국정원은 다음 달부터 3개월간 중앙행정기관(46개)과 광역지자체(17개)로 해당 평가를 확대 실시할 계획이다.