북한 김정일 국방위원장 생일(광명성절, 2월 16일)을 앞두고 사이버 안보 환경에 긴장감이 고조된다. 다음 달 실시되는 한미 연합군사훈련(키리졸브)과 조기 대선 국면 등을 맞아 대규모 공격 준비에 들어갔다는 분석이다. 정부 당국과 보안 업계도 사이버 도발 대비태세를 갖추고 상황을 예의주시한다.
12일 업계에 따르면 연초부터 정부·학술연구단체를 사칭하거나 페이크뉴스를 활용한 북한발 공격 시도가 이어진다. 주요 기념일이나 정치 변혁기에 도발을 감행하는 과거 사례에 비춰봤을 때 사회 혼란을 노린 사이버 테러 발생 가능성이 높다.
광명성절은 북한이 김정일 출생을 기념하는 날로 김일성 생일인 태양절과 함께 가장 큰 북한 명절로 꼽힌다. 각종 전시회와 공연, 체육대회 등 행사가 열린다. 행사 당일 도발 가능성이 낮지만 키리졸브 훈련 기간 등을 겨냥한 거점마련과 정찰활동 수위는 거세질 전망이다.
북한 사이버전 능력은 미군 태평양사령부 지휘통제소 무력화가 가능한 수준에 도달한 것으로 평가된다. 2013년 국내 방송사와 주요 금융기관 전산망을 공격해 PC 4만8000여대를 파괴한 3·20 사이버테러는 북한 사이버전 역량을 보여주는 대표 사례다. 최근 글로벌 `제로데이` 취약점을 자체 발굴해 공격에 활용할 정도로 수준이 높아졌다.
정부와 보안전문가는 올해 대선 관련 선거 방해나 남남분열, 사회혼란을 조장하기 위한 각종 사이버 공격이 늘 것으로 내다봤다. 공격 효과가 두드러지는 분산서비스거부(디도스)공격뿐만 아니라 최신 랜섬웨어를 활용한 공격 가능성도 점쳐진다. 일각에서는 북한 해커가 랜섬웨어를 외화벌이에 이용한다는 의견도 제기된다.
보안 전문가는 “최근 국내 유입된 일부 랜섬웨어는 능숙한 한국어를 구사하는데다 통상 금전적 수익확보를 목적으로 하는 기존 랜섬웨어와 다른 활동 양상을 보인다”면서 “일부 정황증거 등을 추려보면 북한 해커가 랜섬웨어를 공격 수단으로 활용하기 시작한 것으로 판단된다”고 말했다.
이달 한 보안업체가 포착한 랜섬웨어는 피해자가 속기 쉬운 국내 사회·정치적 이슈로 이메일 내용을 꾸몄다. 불특정 다수가 아닌 공공기관에 집중적으로 뿌려졌다. 복호화 대가 지불에도 관심을 두지 않았다. 한국 맞춤형으로 정교하게 제작됐지만 수익 극대화는 어려운 방식이다.
디도스 공격 우려도 여전하다. 국내 기관·기업 등이 과거 여러 차례 공격을 겪으며 방어전략을 상당부분 학습했지만 사물인터넷(IoT) 기기를 자원으로 삼는 등 신규 디도스 공격 기법 또한 등장했기 때문이다.
민간 기업을 대상으로 한 사이버테러 가능성도 제기된다. 상대적으로 보안이 취약한 민간 기업을 공격해 사회 혼란과 금전적 이득까지 노린다.
박원형 극동대 사이버안보학과장은 “지난해 인터파크 해킹이 북한 소행으로 밝혀졌듯이 취약한 민간 기업을 노린 대남 사이버테러에 대비해야 한다”고 말했다.
국가정보원 국가사이버안전센터 사이버위기 경보는 1년 넘게 관심(2단계) 이상으로 지속된다. 지난해 2월 청와대 사칭 이메일 대량 발송 등이 포착되면서 3단계 `주의`까지 경보가 올라갔다가 5월에 다시 관심으로 조정됐다.
박정은기자 jepark@etnews.com
