남북 고위급 회담 중에도 북한으로 추정되는 해커 그룹이 사이버 도발을 끊임없이 감행한 것으로 확인됐다. 남북 화해 분위기에도 불구하고 사이버 공간에서의 긴장감은 여전히 팽팽하다.
27일 사이버전 연구그룹 이슈메이커스랩(대표 사이먼최)과 사이버워는 남북 고위급 2차 회담이 열리던 23일 오후 4시 15분에 킴수키 조직 활동이 포착됐다고 밝혔다. 킴수키는 주로 국내에서 국방·외교·안보와 관련된 기밀자료 유출을 시도하는 조직이다. 한국수력원자력에서 원전도면을 빼내 인터넷에 공개한 그룹도 킴수키와 수법이 동일하다.
이슈메이커스랩과 사이버워는 2차 고위급 회담 중 킴수키와 동일한 구성과 작동방식을 가진 악성코드가 제작돼 유포됐다고 설명했다. 이 조직은 이메일 명령&제어(C&C) 서버를 활용해 기밀자료를 빼내고 제어한다. 주로 불가리아 이메일을 사용한다. 이번에 발견된 C&C 이메일 계정은 ‘통일(Tongil)’이었으며 중국 선양 인터넷주소(IP)가 확인됐다. 회담 기간 국내 정황을 파악하는 시도일 수 있다. 향후 사이버 공격을 준비하는 전초 작업도 가능하다.
남북 고위당국자 공동 보도문 발표로 군사 긴장감은 완화됐지만 국가사이버안전센터(NCSC)는 지난 20일 사이버위기 ‘관심’ 경보를 발령한 후 사이버 긴장감을 늦추지 않고 있다. 국가·공공기관 주요 정보통신망을 대상으로 한 사이버공격 가능성을 배제할 수 없다.
사이버전은 비대칭 전력으로 적은 비용을 들여 상대방에게 막대한 타격을 줄 수 있다. 철도·교통·항만·전력·통신 등에 사이버테러가 발생하면 사회에 엄청난 혼란을 초래한다. 사이버공격 특성상 주체를 명확히 규명하기 어려워 대응도 쉽지 않다.
한민구 국방부 장관은 26일 국회 국방위원회 전체회의에서 남북 고위당국자 공동 보도문 중 ‘비정상적인 상태’에 ‘사이버 공격을 포함해 포괄적으로 이해할 필요가 있다’고 말했다. 향후 사이버 공격주체가 북한으로 확인되면 확성기 방송을 재개할 수 있다는 의미로 분석된다.
사이먼최 이슈메이커스랩 대표는 “발견된 악성코드는 기존 킴수키 코드와 완전히 똑같고 이메일 C&C만 Tongil이라는 계정이 쓰였다”며 “국내외 정세나 이메일 계정 등을 고려할 때 통일이나 외교 등 기관을 노렸을 가능성이 높다”고 말했다.
사이버워 관계자는 “이번 공격은 남북 긴장이 최고조인 상황에서 진행됐다”며 “북한의 양면전술은 과거나 지금이나 동일해 사이버전에 철저히 대비해야 한다”고 설명했다.
김인순기자 insoon@etnews.com