1월 19일 핸디소프트 디지털 서명(코드사인)을 이용한 악성코드.
1월 26일 `북한 민주화와 민주주의 전략` 한글 문서 악성코드.
2월 6일 중국인 이력서로 위장한 한글 문서 악성코드.
2월 17일 교육 일정 안내 파일로 위장한 악성코드.
연초부터 국내 특정 기관과 기업을 노린 북한발 사이버 공격이 위험 수위다. 북한은 정부기관과 주요 기반 보호 시설은 물론 민간 기업을 노린 공격에 열을 올린다. 대통령 선거를 앞둔 올해 대형 사이버 테러 전운이 감돈다.
지난해 미국 대선에 러시아가 해킹으로 개입한 사실이 드러났다. 해킹은 민주주의와 선거 판도를 바꾸는 가공할 무기임이 미국 대선에서 입증됐다. 지난 13일 미국 샌프란시스코에서 열린 RSA콘퍼런스에서 브레드 스미스 마이크로소프트(MS) 최고법률책임자(CLO) 사장은 “해킹이 민주주의를 파괴했다”고 표현했다. 분단 상황에서 대선을 앞둔 우리에게 시사하는 바 크다.
북한은 대선을 앞둔 가운데 국내 사이버 공간에서 선전, 선동과 유언비어 유포에 가담할 수 있다. 정당이나 정부와 관련된 이메일을 해킹해 정보를 탈취하고 공개하거나 역정보를 확산해서 가짜 뉴스를 생성하는 방법이 예상된다. 여론을 혼란시키고 대선 결과에 불신을 남기는 `남남 갈등` 유발 가능성이 짙다.
◇정상 범주 벗어난 공격
보안 전문가들은 최근 북한발 사이버 공격이 평상시 수준을 넘어선 것으로 분석했다. 지난해 1월 6일 북한은 4차 핵실험 후 청와대 사칭 해킹 이메일을 발송했다. 우리 정부는 사이버 위기 경보를 `관심` 단계로 올렸다. 관심은 사이버 공격 발생 가능성에 대비해 각급 기관의 보안 활동과 대비 태세 강화를 요하는 경보다. 같은 해 2월 11일 사이버 공격 수위는 한 단계 더 높여 `주의`가 됐다. 5월 11일 `관심`으로 다시 하향했지만 지금까지 지속되고 있다. 그만큼 사이버 공격이 정상 상황을 벗어난 범주에 있는 탓이다.
지난해 사이버 위기 경보가 지속된 가운데 우리 군 사이버사령부가 해킹 당하는 일이 발생했다. 대규모 인프라나 인터넷 장애는 없었지만 이때 유출된 각종 군사 기밀 등의 사이버 테러 이용 가능성이 짙다.
보안 전문가들은 탄핵 여부를 넘어 대선 정국으로 접어드는 등 사회 혼란기에 사이버 경계 강화를 주문했다. 북한은 물론 국내외 이해 관계에 있는 국가나 단체, 개인이 사이버 심리전과 첩보전을 다양화할 것으로 예상된다.
◇끊이지 않는 공격
국내 주요 기관과 기업을 노린 공격이 지속 포착된다. 올해 들어 알려진 북한발 사이버 공격은 기존과 유사한 유형과 완전히 다른 유형이 섞여 있다. 한국 공격에 성과를 내던 기존 방식을 그대로 쓰면서 새로운 방법도 구사한다. 보안 전문가들은 북한 사이버전사 세대 교체가 일어나고 있다고 분석했다.
북한은 국내 주요 기관 공격 통로로 `한컴 오피스`의 취약점을 이용한다. 연초부터 한컴오피스 취약점을 이용한 공격이 연이어 발견됐다. 하우리는 최근 중국인 이력서로 위장한 한글 문서 악성코드를 발견했다. 문서를 열람하면 정보 탈취 악성코드에 감염돼 내용을 외부로 전송한다. 해당 악성코드는 메모리에서만 동작, 파일을 생성하지는 않는다. 보안 프로그램으로 탐지가 어렵다. 해당 악성코드는 1월 `북한 신년사` `북한 민주화` 주제로 유포된 한글 문서 악성코드와 동일한 제작자가 개발했다.
1월 중순에는 국내 유명 그룹웨어 디지털 서명을 악용한 악성코드가 발견됐다. 해당 수법은 2013년 3월 20일 북한이 방송사와 금융전산망을 마비시켰을 당시에도 이용됐다. 북한은 한국 특수성을 이용한 공격에 능하다. 국내 보안 솔루션이나 소프트웨어(SW) 기업을 해킹, 코드사인을 유출하거나 취약점을 이용한다.
공공기관을 노린 랜섬웨어도 등장했다. 공격자는 돈도 벌고 국내 주요 국가 기관과 기업에 피해를 입힌다. 발송된 이메일은 사내 내부지침 사항을 공유한다는 안내와 함께 `내부지침사항.egg`라는 이름의 압축파일을 첨부했다. 조직 개편 등 신년을 맞아 각 기관과 기업의 내부 변동 사항이 많은 시점을 노려 첨부파일 열람을 유도했다. 기존 랜섬웨어와 달리 한국어에 능숙하며 사회적 이슈를 이용한다. 이스트시큐리티 시큐리티대응센터는 “이번 공격은 2016년 말부터 국내 특정 기관과 기업 임직원을 상대로 유포된 비너스락커 랜섬웨어 공격의 연장선”이라면서 “국내서 주로 쓰는 HWP 확장자 한글 문서 파일을 암호화해 인질로 잡는 등 한국 맞춤형 랜섬웨어”라고 설명했다.
◇북한 정세 변화 사이버에 영향 미칠까
북한의 급변하는 정세가 사이버 공격에 영향을 미칠 가능성이 짙다. 최근 북한 정권은 핵실험과 미사일 위협에 더해 이복형인 김정남을 암살한 것으로 의심받는 등 공포 정치를 일삼고 있다. 김정은 위원장은 “사이버전은 핵, 미사일과 함께 인민 군대의 무자비한 타격 능력을 담보하는 만능의 보검”이라고 말했다. 이미 북한은 2014년 11월 미국 민간 기업 소니픽처스를 해킹해서 기업 기밀을 모두 빼돌리고 PC를 파괴했다. 같은 해 12월 한국수력원자력 원전 도면을 인터넷에 공개한 사건도 저질렀다.
외화 벌이 수단이 막힌 북한이 사이버 범죄에 가담할 공산도 크다. 중국 상무부는 지난 19일 유엔 대북 제재 결의 이행을 위해 올해 말까지 북한산 석탄 수입 전면 중단을 선언했다. 미국 시사주간지 타임은 외화 벌이 수단이 막힌 북한이 사이버 범죄를 시도할 가능성이 있다고 보도했다. 석탄은 북한 수출량의 40%를 차지한다. 최대 약 1조원의 외화 손실이 예상된다.
최근 중국 지린성 창춘에서 북한 해커 12명이 집단 탈북을 시도하다 붙잡힌 것도 국내 사이버 위협 고조 분위기에 영향을 미친다. 북한은 중국 선양과 단둥에 있는 중국 정보기술(IT) 기업에 해커를 취직시켜서 외화 벌이와 정보 수집, 한국 등을 겨냥한 사이버 공격에 활용한다.
김인순 보안 전문기자 insoon@etnews.com