北 해킹메일 공격, 원천 방어 불가..."개인 보안수칙 무엇보다 중요"

2022-12-26 17:10
  • 글자크기 설정

해커, 악성파일 수차례 테스트해 공격...최초 탐지는 어려워

사회공학적 해킹 등 정교한 눈속임 증가...보안수칙 지켜야

[사진=게티이미지뱅크]

경찰청 국가수사본부가 태영호 의원실 사칭 해킹메일의 공격 배후를 북한 해킹 조직 '김수키(Kimsuky)'로 공식 발표했다. 북한 해킹 조직은 최근 기관이나 단체를 사칭한 해킹메일을 발송해 사용자 PC에 악성코드를 주입하고 정보를 유출한다. 하지만 보안 전문가들은 해킹메일을 사전에 차단할 수 있는 원천적인 방법이 없어, 개인의 보안 수칙 준수가 무엇보다도 중요하다고 강조한다.

26일 국수본에 따르면 김수키는 올해 5월 태 의원실 관계자를 사칭하고 '세미나 사례비 지급의뢰서'를 가장해 악성 문서 파일을 발송했다. 올해 해당 조직은 892명에게 해킹메일 공격을 시도했으며, 49명이 피해를 입어 관련 자료나 주소록 등이 유출됐다.

이번 공격을 발견해 수사 당국에 정보를 공유한 문종현 이스트시큐리티 시큐리티대응센터장은 "최근 공격은 정교하게 진행되고 있다. 실제 열리는 세미나를 사칭해 악성파일을 보내고, 개인정보활용 동의가 필요하니 서명을 해달라는 식으로 문서를 열게 한다. 행사 관계자는 파일을 열어볼 수밖에 없다"고 설명했다.

올해 이러한 유형의 공격은 눈에 띄게 증가했다. 이스트시큐리티에 따르면 북한은 통일부 남북관계 일지 사칭(3월), 탈북민 자문위원 의견수렴 설문지 사칭(5월), 6·15 공동선언 관련 통일정책포럼 발제문 사칭(6월), 네이버 마이박스 로그인 사칭(8월), 국립외교원 설문지 사칭(10월) 등 다수의 공격을 펼쳤다. 현재까지 알려진 사례만 20여 건이 넘는다.

하지만 보안 전문가들은 해킹메일 발송을 원천적으로 차단하는 것은 사실상 불가능하다고 설명했다. 공격자는 탐지 회피를 위한 다양한 수단을 사용하고 있다. 자신이 개발한 악성 파일을 백신 소프트웨어로 검사해 탐지되는지 점검하고, 코드를 수정해 탐지되지 않는 버전을 실제 공격에 사용한다.

사용자 PC에 설치된 백신은 데이터베이스에 등록된 악성 파일을 탐지해 이를 차단·삭제하는 방식으로 작동한다. 때문에 새로 개발된 악성파일을 최초로 사용한 공격은 백신 등을 우회할 수 있다. 여기에 관계자나 기업을 사칭해 파일을 열어보도록 하는 교묘한 수법을 더하면서 공격 성공률도 높여가는 추세다.

이에 전문가들은 공격을 막을 수 있는 현실적인 방법으로 사용자가 기본적인 보안 수칙을 준수할 것을 권고한다. 한국인터넷진흥원(KISA)에 따르면 개인이 지켜야 할 보안 수칙은 △운영체제와 소프트웨어 최신 버전 업데이트 △백신 소프트웨어 사용과 실시간 검사 △비밀번호 설정과 주기적인 변경 △신뢰할 수 없는 웹 사이트 방문하지 않기 △출처가 불분명한 이메일 열어보지 말고 삭제하기 등이다.

또한, 문서 파일에 포함된 매크로나 외부콘텐츠 실행은 소프트웨어에서 자동 차단된다. 사용자가 '해제'나 '콘텐츠 사용'을 누를 경우 악성 명령어가 실행되므로 신중히 확인해야 한다.

문 센터장은 "100% 완벽한 보안이란 없으며, 항상 공격자가 우위를 점한다. 북한 해킹 조직은 엘리트 군인으로, 굉장히 치밀하다"며 "이에 국정원과 민간 보안 기업도 사이버안보협력센터를 개소하고, 각각 가지고 있는 정보 영역의 시너지를 통해 합동 대응에 나서고 있다"고 밝혔다.

◆내년에도 해킹메일 증가 전망...사회적 이슈 악용

과학기술정보통신부와 KISA는 내년에도 사회적 이슈를 악용한 해킹메일 등 피싱 공격이 이어질 것으로 전망했다. 실제로 올해 북한 해킹 조직은 '이태원 중대본 보고서' 등 사회적 관심이 집중된 이슈를 해킹메일 발송 등 사이버 공격에 악용한 바 있다.

KISA는 내년에도 사회적 이슈를 악용한 피싱·스미싱·해킹메일 유포, 지능형 지속 위협(APT)이 나타날 것으로 예상했다. 특히 딥페이크 등 첨단기술을 활용한 가짜뉴스 등을 이용해 국가 신뢰도를 저해하고, 사회 전반에 영향을 미치는 활동이 증가할 것으로 전망된다. 사회공학적 해킹기법을 통해 악성코드가 지속 유포되고, 이메일뿐만 아니라 사회관계망 서비스(SNS) 등 개인 채널을 활용한 공격도 증가할 것으로 내다봤다.

이와 함께 KISA는 국가·산업 보안을 위협하는 해킹 조직의 공격이 증가할 것으로 예상했다. 직접적인 수익 창출을 위해 암호화폐 관련 서비스를 노리는 것은 물론, 민감한 데이터를 유출해 기업으로부터 범죄 수익을 극대화할 전망이다. 또 디지털 대전환에 따른 클라우드 도입으로 인해 클라우드 취약점을 노리는 공격이 늘어날 것으로 예상되며, 오픈소스 라이브러리나 업데이트 서버 등 소프트웨어 공급망을 통한 우회 접근 시도도 증가할 전망이다.

과기정통부는 이같은 위협이 예상됨에 따라 기존의 경계형 보안에서 제로트러스트 기반 보안으로 전환해야 한다고 설명했다. 제로트러스트란 잠재적 위협을 식별하고, 접근에 대해서는 거듭된 확인과 권한 부여를 통해 위협 요소를 최소화하는 보안 관리 방식이다. 과기정통부와 KISA는 올해 초부터 연구반을 구성하여 보안모델과 가이드 마련 필요성을 제시한 바 있으며, 이를 위한 '제로트러스트·공급망 보안 포럼'을 발족한 바 있다.

이와 함께 KISA는 사이버 공격을 당하더라도 업무가 중단되지 않도록 백업 체계를 마련하고, 신속한 복구 과정을 사전에 훈련하는 등 '사이버 회복력' 대응체계를 마련해야 한다고 밝혔다.

©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지

0개의 댓글
0 / 300

로그인 후 댓글작성이 가능합니다.
로그인 하시겠습니까?

닫기

댓글을 삭제 하시겠습니까?

닫기

이미 참여하셨습니다.

닫기

이미 신고 접수한 게시물입니다.

닫기
신고사유
0 / 100
닫기

신고접수가 완료되었습니다. 담당자가 확인후 신속히 처리하도록 하겠습니다.

닫기

차단해제 하시겠습니까?

닫기

사용자 차단 시 현재 사용자의 게시물을 보실 수 없습니다.

닫기
공유하기
닫기
기사 이미지 확대 보기
닫기
언어선택
  • 중국어
  • 영어
  • 일본어
  • 베트남어
닫기