2~3월 "북한 대형 사이버 공격 가능성 높아"

4월 13일 총선을 앞두고 북한발(發) 사이버테러 징후가 곳곳에서 포착됐다. 대북전문가는 2월과 3월 사이를 대형 사이버테러 발생 가능 시점으로 예측했다.

민간 사이버전 연구그룹은 지난해 말부터 1월 6일 제 4차 핵실험 후 북한 사이버전사 활동이 최고 수준에 달했다고 28일 분석했다. 그룹은 이날 경계령을 내렸다. 팀을 나눠 활동하는 사이버전사가 모두 활발한 작전을 벌이는 정황이다. 단순 정찰보다는 대규모 사회 혼란을 불러오는 물리적 장애가 예측된다.

국가사이버안전센터는 ‘北 4차 핵실험’ 관련, 북한의 추가도발에 대비하여 1월 8일 사이버위기 ‘관심’ 경보를 발령했다. ⓒ게티이미지뱅크
국가사이버안전센터는 ‘北 4차 핵실험’ 관련, 북한의 추가도발에 대비하여 1월 8일 사이버위기 ‘관심’ 경보를 발령했다. ⓒ게티이미지뱅크

4월 총선이 사이버 공격 분수령이 될 가능성이 높다. 북한은 핵실험 후 끊임없이 사이버 도발을 감행했다. 대북 제재가 논의되는 상황에 은밀하게 작전을 수행하기에 사이버 테러가 적합한 탓이다. 한국 총선도 북한에 호재다. 북한 사이버전 목표는 한국 내 정치적 혼란 유도다. 주요 기반시설에 사이버테러를 감행해 물리적 피해를 입히면 효과는 극대화된다.

한 대북전문가는 “2월 16일은 김정일 생일로 북한은 특정 기념일에 의미를 둔다”며 “사이버 공격을 활용해 물리적 타격을 주면 사회 혼란이 가중 된다”고 말했다.

북한은 국가 주요기반시설이나 사회안전망을 위협한다. ⓒ게티이미지뱅크
북한은 국가 주요기반시설이나 사회안전망을 위협한다. ⓒ게티이미지뱅크

지난해 말부터 신종 북한발 악성코드가 지속 제작돼 유포되는 상황이다. 지난해 8월 13일 한글과컴퓨터 취약점을 패치하라는 ‘한컴 자동 업데이트’를 위장한 악성코드가 발견됐다. 석 달 뒤인 12월 11일 다시 한글과컴퓨터 도구 모듈로 위장해 가짜 시스템 오류창을 보여주는 악성코드도 나타났다.

올 들어 청와대를 사칭해 공공기관에 대규모 해킹 이메일이 전송됐다. ‘북핵과 관련한 의견을 달라’는 형식을 빌어 ‘투트랙 스피어 피싱’ 방식을 썼다. 처음 이메일을 보낼 때 의심을 피하기 위해 악성코드가 없는 내용을 보냈다. 답장을 한 사용자에게 두 번째 이메일을 보낼 때 악성코드를 첨부했다. 1월 7일 발견된 악성코드는 ‘한컴 보안 업데이트’와 ‘마이크로소프트 업데이트 모듈’로 위장했다. 가짜 윈도 업데이트 설치창을 보여주고 악성코드 설치를 유도한다. 13일과 22일에도 북한에서 주로 사용하는 형태 악성코드가 연속 발견됐다.

해킹 기술도 진화했다. 국내 수사기관 추적 회피를 위해 ‘스테가노그래피(Steganography)’ 기법도 쓰기 시작했다. 스테가노그래피는 그림(JPG)나 MP3 파일 안에 정보를 숨기는 암호화 방법이다. 북한은 대담하게 중국 정부 사이트를 해킹해 악용 중이다. 이때 중국 사이트와 한국 간 통신에 스테가노그래피가 이용된다. JPG 이미지 헤더 안에 은밀하게 암호화된 서버 IP를 넣었다.

유동렬 자유민주연구원장은 “핵실험 후 국제 사회 제재 등이 논의되면서 도발원점 확인이 어려운 사이버테러로 한국 체제 혼란을 야기한다”며 “수년 전에 숨겨놓은 백도어 등을 이용해 사회안전망 등을 마비하는 사이버테러 위험성이 높다”고 말했다.

김인순 보안 전문기자 insoon@etnews.com