북한이 국내 금융 정보 보안업체 I사 PC를 해킹해 전자인증서(코드서명)을 빼냈고 이를 이용해 악성코드를 유포했다. I사 정상 프로그램으로 위장한 악성 코드는 학술단체 홈페이지 운영 서버에 설치됐다. 이 서버에 접속한 국세청, 국토교통부, 서울시, 경기도 등 10개 기관 19대 PC가 감염됐다.
개인정보범죄 정부합동수사단(단장 손영배 부장검사)은 북한 해킹 조직이 국내 금융정보 보안업체 I사 전자인증서를 탈취해 `코드사인`을 위조한 뒤 악성 코드를 만들어 유포했다고 31일 밝혔다.
코드서명은 PC에 프로그램을 설치하기 전에 신뢰할 수 있음을 확인하는 수단이다. 정당한 제작자가 만들었고 위·변조되지 않았음을 증명하는 `디지털 도장`이다. 사용자는 코드서명이 적용된 프로그램을 안심하고 내려 받는다. 지난 2013년 3월 20일 금융권과 방송사를 마비시킨 사이버 공격 시작도 보안기업 코드서명 유출에서 시작됐다.
합수단은 지난 2월 I사 코드서명 유출사고 후 관련 서버와 PC 70여대, 악성 프로그램 유포 경로가 된 서버, 악성 프로그램이 설치된 PC를 제어하고 명령을 내리는 서버, 이메일 등 총 12TB 규모 자료를 분석했다.
합수단은 I사 서버가 악성 프로그램에 최초 감염된 지난해 11월 말부터 올해 1월 말 사이 북한 소재 고정 IP가 해당 서버에 26회 접속한 것을 발견하고 북한 소행으로 판단했다.
공격자는 지난해 11월 I사 전산 서버를 해킹하고 내부 자료를 빼낼 수 있는 악성 프로그램을 설치했다. 해당 서버에 접속한 I사 직원 PC에 이 악성 코드가 감염돼 코드서명이 유출됐다. 공격자를 이를 이용해 악성 코드를 만들고 감염을 유도했다. 악성 코드는 정보를 탈취하거나 다른 프로그램을 추가로 설치하는 기능을 한다.
I사 직원 사내 이메일로 악성 코드가 첨부된 `남북통일에 대함`이라는 이메일이 발송됐다. 유포된 악성 프로그램 명령·제어 서버 도메인(dprk.hdskip.com)도 북한과 관련이 있다.
합수단 관계자는 “대형 은행 등에 보안 솔루션을 제공하는 I사의 정상 프로그램인 것처럼 가장해 유해 국내 주요 전산망 침입·마비 등으로 사회 혼란 야기를 시도한 사이버 테러로 추정된다”고 설명했다.
김인순 보안 전문기자 insoon@etnews.com