3·20 사이버테러 발생 4주년을 앞두고 국내 금융사를 표적한 북한발 사이버 공격이 감지됐다. 국내 금융사 망분리 환경을 꿰뚫고 무력화를 시도하는 사이버 공격이다.
8일 금융권에 따르면 최근 국내 망분리 솔루션의 취약점을 공격하는 악성코드가 발견돼 비상 대응에 들어갔다. 금융권은 2013년 3·20 사이버테러 이후 업무에 사용하는 내부망과 인터넷 접속이 가능한 외부망을 분리하는 망분리가 의무화됐다. 침해 시도가 많은 인터넷망을 업무망과 분리, 주요 업무 시스템의 마비를 막는 조처였다. 발견된 공격은 이를 무력화하는 시도다.
공격자는 A은행이 사용하고 있는 P사 망분리 관리 솔루션의 취약점을 공격하는 악성코드를 개발, 배포했다. 공격자는 해당 금융사가 망분리에 쓴 클라이언트기반컴퓨팅(CBC) 환경을 분석했다. A은행은 CBC 방식의 논리 망분리를 했고, 이를 효율 관리하기 위해 P사 솔루션을 이용했다. 이런 구조를 간파해 인터넷PC를 악성코드에 감염시킨 후 내부망으로 진입을 시도했다.
A은행 관계자는 “인터넷PC에서 악성코드 감염을 확인한 후 신속히 조치, 장애는 발생하지 않았다”고 밝혔다. A은행은 인터넷PC 전체를 초기화하고 보안 관제를 강화하며 비상 대응에 들어갔다.
해당 악성코드 분석 결과 2015년 11월 미국 소니픽처스 내부 정보 유출 및 PC 파괴에 사용된 것과 유사한 특징이 발견됐다. 해당 악성코드 시리즈는 3·20 사이버테러 때도 이용됐다.
발견된 악성코드는 2종으로, 호스트 운용체계(OS)에서 감염 PC 내부 정보를 수집한다. 다른 하나는 호스트 OS에서 수집한 정보를 명령&제어(C&C) 서버로 전송하거나 추가 악성코드를 내려 받는다. 금융권은 2종 외 다른 악성코드가 있을 것으로 보고 조사와 탐지에 주력하고 있다.
북한은 최근 국제 제재로 외화벌이가 막히면서 세계 31개국 100여개 은행에 사이버 공격을 시도했다. A은행이 감염된 악성코드는 이 공격의 연장선으로 보인다. 100여개 은행에 쓰인 악성코드도 소니픽처스 공격에 쓰인 것과 같다.
한 보안 전문가는 “은행 사이버 공격에 성공하면 자금을 빼돌릴 수 있고 동시에 시스템을 마비시켜 사회 혼란도 야기한다”면서 “2013년 3·20 사이버테러 때부터 국내 은행 시스템을 파악하고 있어 긴장을 늦출 수 없다”고 말했다.
김승주 고려대 사이버국방학과 교수는 “가상PC 제로데이 취약점이 공개되는 등 논리 망분리를 한 환경도 악성코드 공격에서 자유롭지 못하다”면서 “인터넷PC에서 침해 흔적이 발견됐다면 업무망 PC 전수 조사도 필요하다”고 설명했다.
김인순 보안 전문기자 insoon@etnews.com, 박정은기자 jepark@etnews.com