회원 19만명을 보유한 국내 주식정보업체가 북한에 의해 해킹된 것으로 확인됐다. 북한은 정보 탈취와 함께 금전 탈취 목적으로 우리 사회 전반에 걸쳐 해킹 공격을 확대하고 있다.
에스투더블유랩은 지난달 국내 주식정보업체 A사를 발판으로 한 해킹 공격을 포착하고 수사 당국에 알렸다고 5일 밝혔다.
공격자는 A사가 제공하는 증권정보제공 메신저에 침투, 메신저를 내려받을 때 악성코드가 함께 다운로드되도록 했다. 이 악성코드에 감염되면 공격자가 감염 기기로부터 정보를 빼내거나 원격 제어하는 것이 가능해진다.
에스투더블유랩은 악성코드 분석 과정에서 A사 공격자가 북한 해킹조직 김수키와 같은 명령제어(C2) 서버를 쓴다는 사실을 파악하고 김수키 소행으로 결론 내렸다.
김재기 에스투더블유랩 수석연구원은 “김수키가 과거 비트코인과 관련해 개인을 해킹한 사례는 있었지만 대부분 정보 탈취 목적이었다”면서 “이번 공격은 증권 관계자 등 개인을 겨냥한 금전 탈취 목적으로 분석된다”고 말했다.
A사는 금융가·증권가에서 이름이 알려진 업체로, 이달 기준 회원이 19만4000여명이다. 메신저 기반 증권정보제공 서비스 도입은 2008년부터다. A사는 해킹 사실을 인지하고 5일 오전 한국인터넷진흥원(KISA)에 침해사고를 신고했다.
KISA 관계자는 “악성코드를 공유하고 (공격) 차단 조치를 마친 상태”라면서 “A사에 기술을 지원할 예정”이라고 말했다.
김수키가 이랜드와 원스토어를 사칭해 해킹 공격을 준비한 정황도 드러났다.
김수키는 지난해 이랜드 랜섬웨어 감염 사고가 불거진 뒤 이랜드를 사칭한 도메인을 개설했다. 비슷한 시기 원스토어를 사칭한 도메인도 만들었다. 원스토어는 회원 3500만명을 보유한 애플리케이션(앱) 스토어다. 이 같은 도메인은 스피어피싱 공격 시 악성 이메일 등에 삽입하기 위한 용도로 쓰인다.
김 수석연구원은 “김수키가 업권과 관계없이 공격하고 있다”면서 “정찰 이후 추가 공격 대상을 정하고 계정 정보 탈취 등 후속 공격을 감행할 우려가 있다”고 말했다.
공격 확산에 비해 대응 속도가 더딘 점은 문제로 지적된다.
임종인 고려대 정보보호연구원장은 “사이버 공격자는 유통되는 자금에 비해 보안이 취약한 곳을 노린다”면서 “특히 사모펀드 등 투자 관련 업종은 의사결정을 빠르게 해야 하는 만큼 보안에 취약해질 공산이 크다”고 설명했다.
임 원장은 “우리나라가 정보기술(IT) 강국, 사이버 강국이라고 하지만 보안 수준은 저조하다”면서 “사이버 공격에 따른 피해가 커지지 않도록 보안 장치를 마련해야 한다”고 강조했다.
오다인기자 ohdain@etnews.com