원자력발전소 등 국내 주요 기반시설을 노린 사이버테러 징후가 포착됐다. 매년 홀수 해마다 반복된 대형 사이버테러가 재현될 위험이 최고조에 달했다.
14일 보안 업계는 원자력발전과 국방·안보 기관을 대상으로 한글문서 취약점을 이용한 지능형지속위협(APT) 공격이 감지돼 비상대응에 들어갔다. 공격자는 주요 발전시설 안전 담당자에게 ‘제어 프로그램’이란 제목의 한글 파일을 보냈다. 관련 문서는 원전 운영에 필요한 주요 내용이 상세히 적힌 기술문서다. 얼핏 봐선 문서에 악성코드가 숨어있는지 알아채기 어렵다.
전문가 분석 결과 관련 한글문서 파일에는 각종 정보를 빼돌리는 백도어 외에 주요 확장자 파일과 마스터부트리코드(MBR) 등을 손상시켜 PC를 무용지물로 만드는 악성코드가 들어 있는 것으로 알려졌다. 최근 발생한 소니픽처스 해킹과 지난해 국내 주요 은행과 방송사를 마비시킨 3·20, 6·25 사이버테러 악성코드 역시 MBR 영역을 파괴했다. 보안전문가들은 조심스럽게 북한 사이버전사 움직임이 심상치 않다고 입을 모은다.
안랩 ASEC블로그는 악성코드가 12월 10일 오전 11시 이후에 MBR 파괴기능이 작동하도록 설계됐다고 분석했다. 악성코드에 감염되면 PC 부팅이 안 되고 ‘내가 누구일까(Who Am I)’라는 조롱하는 문자열이 출력되는 대담성까지 보인다. 관련 악성코드는 MBR 파괴에 더해 HWP, DOC, PDF, EXE 등 특정 확장자를 가진 파일도 모두 손상시킨다. PC 자체는 물론이고 주요 문서를 없애버리는 셈이다. 주요 기밀을 모두 빼돌린 후 PC를 파괴해 혼란을 가중시키는 전형적인 사이버테러 수법이다.
이 악성코드를 포함한 한글문서는 내용은 다르지만 모두 동일한 취약점을 쓰는 것으로 분석됐다. 공격자는 원전과 국방·안보 등에 관련된 기관과 긴밀한 내용으로 한글문서를 만들어 관련 악성코드를 대규모로 유포한다. 관련 한글 취약점 패치는 나와 있는 상황으로 빠른 업데이트가 요구된다.
안랩 ASEC는 “악성코드가 포함된 한글문서는 모두 특정인에게 이메일 첨부파일 형태로 유포됐다”며 “불명확한 발신인이나 확인되지 않은 첨부파일은 실행 전 보안에 문제없는지 확인해야 한다”고 조언했다.
A 보안전문가는 “보안기업들이 소니픽처스 해킹 분석에 열중하고 있는 틈을 타 공격자가 국내 주요 원전과 국방시설에 APT를 감행했다”며 “긴장을 조금이라도 늦추면 바로 대규모 사이버테러가 발생될 상황에 놓였다”고 진단했다.
김인순기자 insoon@etnews.com