북한 '사이버간첩활동' 꼬리잡혔다

아주경제 장윤정 기자= 북한이 수년간 국내 주요 국방관련 기관을 대상으로 사이버 첩보활동을 수행하고 있었다는 정황이 드러났다.

12일 국내외 보안업체는 북한이 세종연구소, 한국국방연구원(KIDA), 통일부, 현대상선, 통일생각 등 대한민국의 주요 기관을 대상으로 사이버 첩보활동을 펼쳐왔다며 이와 관련된 증거를 속속 공개했다.

카스퍼스키랩과 하우리는 북한이 국내 주요기관을 대상으로 사이버첩보활동을 펼쳐온 증거를 공개했다. 사진은 증거중 하나인 북한회선으로 추정되는 공격자의 IP-주소.

해외보안업체 카스퍼스키랩은 'Kimsuky'라는 악성코드가 주요 타깃을 노리고 정상메일로 위장, 한글파일의 취약점을 악용해 정보를 빼내갔다고 밝혔다. 특히 Kimsuky 악성코드는 국내 주요 공공기관에서 사용하는 '안랩'의 보안제품을 무력화하는 기능을 수행하고 있어 활동 대상이 한국임을 더욱 확실하게 하고 있다.

또 악성코드에 한국어로 된 문자열 '공격'과 '완성' 등이 들어 있었고 악성코드의 동작상태와 감염된 시스템에 대한 정보를 첨부파일로 전달할 때 사용된 두 개의 이메일 주소(iop110112@hotmail.com, rsh1213@hotmail.com)가 'kim'으로 시작되는 이름(kimsukyang과 Kim asdfa)으로 등록되었다는 점 역시 북한의 소행임을 짐작케 하는 증거다. 특히 공격에 사용된 10개의 IP 주소는 모두 중국의 Jilin Province Network와 Liaoning Province Network의 것으로, 이 지역에서의 일부 인터넷 회선은 북한에 연결된 것으로 추정된다.

국내 보안업체 하우리 역시 지난 3년간 북한으로 추정되는 해커조직이 국가 주요기관 및 연구기관 등을 대상으로 정보수집을 위한 사이버 첩보활동을 펼쳐왔다고 밝혔다. 하우리는 악성코드에 사용된 암호화 기법 등이 기존에 북한의 소행으로 알려진 악성코드들과 상당부분 유사하다고 설명했다.

또 개발 경로 및 이메일 프로토콜 등에 한글이 사용되는 등 한글 환경에 능숙한 점, 일부 문서에 포함된 북한 폰트인 '청봉체' 등이 해당 조직을 북한으로 추정할 수 있는 요소들이라고 증거를 제시했다. 나아가 이메일 C&C를 통해 명령을 제어하는 해커조직의 관리자 IP가 국내에서 북한의 김정일 일가를 찬양하는 게시글을 올린 IP와 일치하는 점, 해커조직의 IP 대역이 주로 대남 사이버전 수행 거점을 설치하고 정보를 수집하고 있는 것으로 알려진 북한 정찰총국이 위치한 중국 동북3성(랴오닝성, 지린성, 헤이룬장성) 등에 위치해 있다고 구체적인 증거를 나열했다.

카스퍼스키랩과 하우리는 정보수집을 위한 악성코드를 감염시키기 위해 주로 한글 문서 취약점을 이용, 대상의 이메일로 한글 문서를 첨부파일 형태로 전달했으며 대부분 감염 당시 패치가 존재하지 않는 제로데이 취약점을 이용했다고 설명했다. 북한은 악성코드를 이용해 △현재 작업 화면 캡처 △키로깅 △각종 웹 브라우저에 저장된 계정 정보 수집 △하드디스크에 있는 파일 목록 수집 △한글 문서를 포함한 각종 문서 파일 수집 △추가 악성코드 다운로드 및 실행 등의 첩보활동을 해왔다.

최상명 하우리 선행연구팀 팀장은 "이미 오래 전부터 북한으로 추정되는 해커조직들이 국내를 대상으로 사이버 첩보활동을 수행해온 것이 여러 정황으로 밝혀졌기에 더 이상 비공개로 숨길 문제가 아니다"라며 "민·관을 비롯해 보안업체, 국민들 모두 이를 공론화하고 효과적으로 대응할 수 있는 방안을 찾아야 한다"고 강조했다.