북한 해커가 자체 발굴한 글로벌 `제로데이` 취약점을 사이버 공격에 활용한다. 주공격 수단으로 활용해 온 한글오피스 보안성이 개선되자 침투 기법 질적 수준을 높였다는 분석이다. 일각에서는 북한에 자체 글로벌 제로데이 취약점 발굴 역량을 지닌 `천재 해커`가 등장했다는 관측도 나온다.
18일 보안 업계에 따르면 5월과 7월, 10월에 군과 조선, 항공 산업 등 다양한 영역에 북한으로 추정되는 제로데이 공격이 발생했다. 동시에 매년 4~5건씩 발견되던 한글오피스 취약점 악용 공격은 1건으로 대폭 줄었다.
제로데이 공격은 컴퓨터 운용체계(OS)나 네트워크 장비, 프로그램 소프트웨어(SW) 등에서 발견한 새로운 취약점으로 관련 패치가 나오기 전에 수행하는 공격을 말한다. 대응책이 없는 상태에서 공격이 이뤄지기 때문에 막기 어렵다.
북한 해커는 그동안 한글오피스에서 보안 취약점을 찾아 악성코드를 심는 방식으로 공격을 수행했다. 군과 공공기관 등 국내 이용률이 높고 사용자 단에서 최신 업데이트가 미비한 점을 노렸다. 한국 환경에 맞춰 국산 소프트웨어 관련 제로데이 발굴에 집중한 셈이다.
올해도 한컴오피스 취약점이 여전히 악성코드 유포 등에 악용됐지만 과거에 비해서는 횟수가 줄었다는 평가다. 10월 언론사를 노린 스피어피싱 등이 발견됐지만 한컴 측에서 바로 보안 패치를 배포했다. `최순실 사태` 등 사회·정치적 이슈에 편승한 공격도 포착됐으나 곧 조치가 이뤄졌다. 당시 한컴 자체 취약점이 아닌 써드파티 기능을 악용한 것으로 알려졌다.
반면 마이크로소프트(MS), 어도비 플래시 등 글로벌 제품 제로데이 취약점 공격이 속속 포착되기 시작했다. 해외에서 공개되거나 발표된 취약점이 아닌 북한이 자체 발굴한 제로데이다. 5월 발생한 공군 홈페이지 역시 글로벌 제로데이 취약점이 활용됐다. 공격을 탐지하고도 해외 기업에 연락을 취하고 보안 패치가 제작될 때까지 시간차가 발생해 대응이 어렵다.
최상명 하우리 실장은 “한컴오피스 보안성이 상당 수준 강화되면서 북한 해커가 애용하던 공격 수단이 막힌 셈이 됐다”며 “한국만을 목표로 한 글로벌 제로데이 공격은 탐지도 어려울뿐더러 대응도 쉽지 않다”고 말했다.
제로데이 공격 피해 최소화를 위해 관련 글로벌 업체와 신속한 대응을 위한 공조 체계 마련이 필요하다. 공격 대상을 한국으로 특정한 제로데이는 해외 기업 본사에서도 탐지가 어려운 만큼 국내 취약점 신고포상제 활성화도 주요 대응 방안으로 꼽힌다.
글로벌 기업은 제로데이 발생 확률을 낮추기 위해 적극적으로 보안 취약점 신고포상제(버그바운티)를 시행 중이다. 내부 역량으로만 취약점을 새로 발견해 개선하는데 한계가 있기 때문이다. 치명적인 제로데이 취약점은 보상액이 수억원에 달한다. 해킹에 악용될 시 피해를 고려하면 그만큼 가치를 한다는 판단이다.
사이버전 역량 질적 성장도 요구된다. 제로데이 취약점을 발굴하거나 관련 공격을 탐지하는 데는 탁월한 역량을 지닌 `한명의 천재`가 중요한 역할을 한다.
한 보안전문가는 “최근 북한 제로데이 공격을 보면 최정상급 `천재 해커`를 확보한 것으로 보인다”면서 “북한이나 주변국에 비해 규모면에서 부족한 사이버전 대응 인력을 늘리는 것도 중요하지만 핵심 인재가 국내 사이버안보에 기여하는데 동기를 부여할만한 환경 조성도 필요하다”고 말했다.
박정은기자 jepark@etnews.com
