지난해 한국수력원자력 원전 도면을 해킹한 ‘킴수키(kimsuky)’ 조직 활동이 포착됐다. 6·25 65주기를 앞두고 사이버 영토에 긴장이 높다.
21일 정보보호업계는 한동안 잠잠했던 킴수키 조직이 다시 활동해 국가주요기반시설 등에 사이버 테러 주의를 당부했다. 일부 기업은 이달 말까지 자체적으로 보안 관제를 강화하며 집중 대응에 들어갔다.
사이버 긴장감이 높아진 것은 최근 킴수키로 알려진 해커 조직이 사용하는 취약점과 악성코드가 다시 발견된 탓이다. 업계는 5월 이후 킴수키와 동일한 구성과 동작방식을 가진 악성코드가 3건이나 발견된 데 주목했다.
지난 2013년 3·20이나 6·25 사이버테러가 발생하기 전처럼 국내 악성코드 배포도 급증했다. 국내 410만개 웹사이트를 관찰하는 빛스캔은 5월 둘째주부터 위협 수준을 ‘경고’로 상향 조정했다.
미국·캐나다·독일 정부 등이 연이어 사이버 공격을 받으며 국내도 안심할 수 없는 상황이다. 최근 중국에 서버를 둔 북한 선전용 웹사이트까지 먹통이어서 사이버 긴장이 팽팽하다.
대형 사이버 테러는 매년 홀수해 마다 반복됐다. 공격자는 중동호흡기증후군(메르스)으로 사회가 혼란스러운 틈을 이용할 수 있다.
최근 발견된 킴수키 관련 문서는 △핵심기술 사업 제안서 공모문(광섬유 레이저 파장제어 빔 결합기술) △북한 내부영상 △북한의 항공우주기술 개발 동향 및 수준(최종) 등 북한이나 항공 등 방산산업과 관련됐다. 이런 내용을 주로 다루는 기관을 목표물로 한 것으로 추정된다.
킴수키 조직은 주로 한컴오피스 취약점을 활용한다. 국내 공공기관이 주로 쓰는 한컴오피스 문서에 악성코드를 삽입해 이메일로 전송한다. 기관이나 기업으로 이메일을 보내고 이 중 한명만 문서를 열람하면 전체 네트워크에 침입할 수 있는 ‘스피어피싱’이다. 한수원 사고 때처럼 중요 자료를 유출하거나 네트워크와 시스템 등을 파괴할 수 있다.
한 악성코드 분석가는 “이미 한글과컴퓨터가 관련 취약점을 공지하고 패치를 내놨지만 여전히 많은 사람들이 한컴오피스 업데이트를 소홀히 한다”며 “한수원 사고를 비롯해 대형 사이버테러 때 쓰인 취약점 상당수가 패치가 있었지만 하지 않아 속수무책으로 당했다”고 지적했다. 그는 공공기관과 기업 등은 한컴오피스 등 상용 소프트웨어를 최신 상태로 업데이트하고 출처가 불문명한 이메일은 열어보지 않는 등 보안수칙을 철저히 지켜야 한다“고 말했다.
김인순기자 insoon@etnews.com