[이슈분석]3.20 사이버테러 3년...긴장감 최고조

새해 벽두부터 청와대 사칭 해킹 메일이 발송되더니 금융 보안솔루션 공급 기업 디지털서명(코드사인)까지 해킹됐다. 특정 표적을 노린 체계화된 조직이 일사분란하게 작전 수행 중이다.

3·20 사이버 테러 3년을 앞두고 국내 주요 기반시설 사이버테러 긴장감이 최고조다. 지난 1월 북한 4차 핵실험 이후 북한 사이버전사 활동이 평상치를 뛰어넘었다. 팀을 나눠 활동하는 사이버전사가 모두 활발한 작전을 벌인다. 단순 정찰을 넘어 대규모 사회 혼란을 노린 제2 3·20 사이버테러 발생 위기감이 높아졌다.

3.20 사이버테러 3년을 앞두고 남북 사이버 긴장감이 최고조에 달했다. ⓒ게티이미지뱅크
3.20 사이버테러 3년을 앞두고 남북 사이버 긴장감이 최고조에 달했다. ⓒ게티이미지뱅크

여기저기서 북한 사이버전사 움직임이 포착된다. 국회는 지난 18일 안보 점검 긴급 당정협의회를 열었다. 국정원 보고에 따르면 김정은이 남한 사이버테러 역량에 집중하라는 지시를 내린 것으로 확인됐다. 국정원은 원전과 정부, 언론기관 등에 분산서비스거부(DDoS) 공격을 내린 정찰총국이 준비 중이라고 설명했다.

우리 군은 앞서 지난 14일 대남 사이버테러 감행 가능성에 대비해 정보작전방호태세 ‘인포콘’을 4단계에서 3단계로 올렸다. 군이 인포콘을 ‘준비태세’ 4단계에서 ‘향상된 준비태세’ 3단계로 올린 건 2013년 금융과 방송망을 마비시킨 3·20 사이버테러 후 3년 만이다.

국가사이버안전센터는 지난 11일 11시부로 사이버위기 경보를 3단계 ‘주의’로 올렸다. 지난달 8일 북한 4차 핵실험 후 관심 경보를 발령한 지 한 달여 만에 상승했다.

북한은 물리적 도발 후 수개월 안에 사이버테러를 감행해왔다. ⓒ게티이미지뱅크
북한은 물리적 도발 후 수개월 안에 사이버테러를 감행해왔다. ⓒ게티이미지뱅크

◇곳곳에서 사이버테러 흔적 발견

정부가 사이버테러 발생 가능성에 무게를 두는 건 여기저기 흔적이 감지된 탓이다. 북한은 2009년 5월 25일 핵실험 뒤 7월 7일 분산서비스거부(디도스) 공격을 감행했다. 2013년 2월 12일 핵실험 후에도 3월 20일과 6월 25일 각각 사이버테러를 저질렀다. 매번 핵실험 사이버 도발을 감행했다. 올해 1월 4차 핵실험 후 사이버테러 가능성이 높은 이유다.

4차 핵실험을 벌인 1월 6일 후 13일 16시20분경 청와대를 사칭해 국가·공공기관을 노린 해킹 메일이 대량 유포됐다. 공격자는 정부기관·국책 연구기관에 청와대와 외교부, 통일부를 사칭해 북한 4차 핵실험 의견을 개진해달라고 투트랙 스피어피싱 이메일을 보냈다. 경찰은 이달 11일 청와대 등 주요 국가기관을 사칭해 정부기관이나 연구기관에 해킹 이메일을 보낸 공격자를 북한 해커 조직이라고 결론 냈다.

북한발 악성코드와 공격 흔적이 곳곳에서 감지된다. ⓒ게티이미지뱅크
북한발 악성코드와 공격 흔적이 곳곳에서 감지된다. ⓒ게티이미지뱅크

경찰은 해킹 메일을 보낸 인터넷주소(IP)와 문구, 계정 등을 분석해 북한발 해킹으로 분석했다. 경찰은 해당 공격에 쓰인 이메일 발신 IP가 2014년 북한 해커 소행으로 추정된 ‘한국수력원자력 문건 유출 사고’와 동일한 중국 랴오닝(遼寧)성 대역으로 확인했다. 경찰은 해당 이메일이 한수원 해킹 사건 이후인 지난해 6월부터 발송돼 총 759명에게 보내졌다고 밝혔다. 이 가운데 460명 직업을 확인했다. 북한 관련 직업에 종사하는 사람이 87.8%였다. 북한 핵실험 관련 의견을 회신한 이는 35명이다.

청와대에 이어 한글과컴퓨터를 사칭해 보안 자동 업데이트를 하라는 이메일 공격도 나타났다. 정상적인 한컴오피스 보안 업데이트 설치 프로그램으로 위장했다.

금융권과 공공기관에 보안솔루션을 제공하는 최신 기업 디지털서명(코드사인)도 해킹됐다. 금융보안원(원장 허창언)은 최근 한 기업 코드사인이 해킹되고 이를 이용한 악성코드가 발견돼 금융권에 비상 대응령을 내렸다.

코드사인은 프로그램 신뢰와 안정성을 입증한다. 전문가들은 해당 코드사인을 이용해 유포된 악성코드가 얼마나 되는지 파악하기 어려워 긴장한다. 공격자가 특정 표적기관 악성코드 공격에 성공한 후 코드사인 활용 흔적을 지웠을 가능성이 높다. 관련 악성코드 발견 추이를 보면 대량 배포가 아니라 표적을 노린 지능형지속위협(APT)이다. 관제망에 걸리지 않게 은밀하게 작전을 수행했다. 북한발 최신 악성코드가 계속 감시망에 잡힌다.

◇주요기반보호시설 보안 챙겨야

대북 전문가들은 조심스럽게 2월과 3월 사이를 대형 사이버테러 발생 가능 시점으로 예측했다. 단순 정찰보다는 대규모 사회 혼란을 일으키는 물리적 장애가 우려된다. 대북 제재가 논의되는 현 상황에서 은밀하게 작전을 수행하기에 사이버테러가 적합하다.

지하철 등 주요기반시설을 노린 사이버테러 가능성이 커졌다. ⓒ게티이미지뱅크
지하철 등 주요기반시설을 노린 사이버테러 가능성이 커졌다. ⓒ게티이미지뱅크

유동열 자유민주연구원장은 “핵실험 후 국제 사회 제재 등이 논의되면서 도발원점 확인이 어려운 사이버테러로 한국 체제 혼란을 야기한다”며 “수년 전 숨겨놓은 백도어 등을 이용해 사회안전망 등을 마비시키는 사이버테러 위험성이 높다”고 말했다.

지하철 등 주요기반시설을 노린 사이버테러 가능성이 커졌다. ⓒ게티이미지뱅크
지하철 등 주요기반시설을 노린 사이버테러 가능성이 커졌다. ⓒ게티이미지뱅크

심각한 사회 혼란을 초래하는 철도나 항공, 원자력발전소 등 사회기반시설을 목표로 공격할 가능성이 크다. 북한은 2014년 12월 한국수력원자력 원전도면 유출 사고를 일으킨 후 사이버 심리전을 벌이며 기반시설을 위협했다.

이미 북한은 2014년부터 철도 분야를 해킹해 네트워크 망구성도, 시스템 장애 복구전환절차서 등 시설 정보 수집을 시도했다. 지하철 운행을 실시간 감시하는 종합관제소와 지하철 전력 공급을 맡은 전기통신사업소 등 PC가 북한 악성코드에 감염된 사실도 드러났다.

서울시 감사위원회 서울메트로와 도시철도 감사 결과는 ‘경악’이었다. 열차 신호제어시스템이 인터넷과 연결, 폐쇄망 운영 규정을 어기는 등 취약한 보안 상황을 그대로 드러냈다. 호시탐탐 주요 기반시설 마비를 노리는 공격자에게 문을 열어준 꼴이다. 가뜩이나 열차를 노린 사이버테러 위협이 높은 데 취약한 보안 상태가 노출돼 대규모 사회 혼란 가능성이 높다.

국내 보안업체가 해킹당해 코드사인이 유출되는 등 이례적인 보안사고가 곳곳에서 감지된다. ⓒ게티이미지뱅크
국내 보안업체가 해킹당해 코드사인이 유출되는 등 이례적인 보안사고가 곳곳에서 감지된다. ⓒ게티이미지뱅크

보안전문가는 “이미 지난해 말 우크라이나에서 발생한 대규모 정전사태 원인은 사이버 공격이었다”며 “사이버 공격으로 물리적 타격을 주는 시나리오가 국내에서 일어날 가능성을 배제할 수 없다”고 말했다.

[표]북한 사이버 공격 사례

[표]북한 핵실험 시기 사이버공격 시도 현황(자료:금융위원회)

(자료:이슈메이커스랩)

[이슈분석]3.20 사이버테러 3년...긴장감 최고조

[이슈분석]3.20 사이버테러 3년...긴장감 최고조


김인순 보안 전문기자 insoon@etnews.com