북한 사이버 전사 ‘라혁철’의 움직임이 빨라졌다. 지난해 발생한 3·20, 6·25 사이버테러와 같은 대규모 전산망 장애와 시스템 파괴가 나타날 수 있어 경계 강화가 시급하다는 지적이다.
9일 보안업계에 따르면 북한으로 추정되는 공격자가 과거 3·20때 쓰였던 유사한 형태 악성코드를 대량으로 유포 중인 것으로 확인됐다. 북한은 현실에서 미사일을 발사해 긴장감을 유도하면서 동시에 사이버 공간에서 악성코드를 확산하는 도발을 진행 중이다.
특히 이들은 국내에서 주로 쓰이는 온라인 결제모듈을 비롯해 DRM솔루션, 그룹웨어 보안 취약점을 집중 공략하고 있다. 규모가 작은 국내 기업이 만든 소프트웨어와 보안 제품에서 발견된 취약점은 신속한 패치가 어렵다. 관련 솔루션을 쓰는 기관과 기업은 구멍이 뚫렸는지 알면서도 막지 못해 속수무책으로 사이버 공격에 노출될 수 있다.
북한발 추정 악성코드에는 ‘라혁철’이라는 이름과 함께 ‘서비스 창조’ 등 한글 표현이 들어 있고 과거 공격 때와 유사한 형태 파일이다. 보안업계는 한국인터넷진흥원과 함께 관련 웹사이트 및 명령&제어(C&C) 서버를 차단하며 초기 대응 중이다.
잉카인터넷 시큐리티대응센터는 최근 북한으로 추정되는 공격자 움직임이 빨라져 예의주시한다고 밝혔다. 잉카인터넷은 북한 공격 움직임을 ‘오퍼레이션 블랙잭(Operation Black Jack)’이라고 명명하고 추적과 감시 활동을 진행 중이다.
공격자는 무료 인도 웹메일인 ‘jack88888@india.com’ 계정으로 감염시스템의 정보를 암호화해 수집하고 메일 서버를 통해 악성파일을 추가로 설치한다. 지난해부터 최근까지 발견된 악성코드는 ‘jack+숫자’ 형태 인도 웹메일로 작전을 수행 중이다. 공격자는 정상적인 내외부 업데이트 서버 파일을 악성코드로 교체하고 특정 분야 관계자가 주로 접속하는 웹사이트를 해킹해 공격 코드를 넣는 ‘워터링 홀’ 기법도 쓰고 있다.
문종현 잉카인터넷 부장은 “북한 사이버전사는 제3국을 통해 다양한 공격을 수행한다”며 “북의 사이버 공격은 언제나 현재 진행형 위협”이라고 강조했다.
하우리는 이달 초 발견된 악성코드가 접속하는 C&C 서버 중 일부가 지난해 3·20 사이버테러 때 쓰인 것과 동일하다고 분석했다. 명령을 수신해 복호화하고 정보를 C&C 서버로 전송하는 암호화 로직이 3·20 악성코드와 같다.
최상명 차세대보안연구센터장은 “1차 C&C 서버와 2차 TOR C&C 서버를 통해 추가로 수신하는 암호화된 명령을 해독하며 예의주시 중”이라고 밝혔다.
한국인터넷진흥원 등 관계 기관도 대규모 전산망 장애를 막는 비상태세에 들어갔다. 정현철 인터넷침해사고대응본부 단장은 “관련 악성코드를 입수해 C&C를 차단하고 전용 백신을 개발했다”며 “아직 전산망 장애나 시스템 파괴는 일어나지 않았지만 잠복기를 거쳐 언제든 사고가 발생할 수 있어 예방에 만전을 기하고 있다”고 설명했다.
김인순기자 insoon@etnews.com