정부는 북한 노동당 창건일(10월 10일)을 전후한 북한의 도발 가능성을 경고했다. 최근 핵실험과 미사일 발사 등 물리력 도발에 이어 사이버 위협 긴장감이 고조된다.
9일 사이버 보안 업계는 지난 9월 29일 유포된 '올크라이' 랜섬웨어 등 북한의 사이버 도발 움직임에 비상 대응에 들어갔다. 심보균 행정안전부 차관은 2일 국가정보자원관리원을 방문, 사이버 안전 현황을 점검했다. 한국인터넷진흥원도 긴 연휴 뒤 업무가 시작되는 10일 공격 가능성 등에 예의 주시하고 있다.
보안업계는 올크라이 랜섬웨어가 10일 다시 확산될 가능성에 주목했다. 올크라이 랜섬웨어는 지난 5월 세계를 강타한 워너크라이처럼 연휴 시작과 함께 나타났다. 올크라이는 국내를 표적으로 한 공격인 데다 문서나 그림 파일 외에 실행파일(EXE)까지 암호화하는 시스템 파괴 기능이 있다.
공격자는 국내 웹하드 이용자와 불필요한 프로그램(PUP) 인터넷 광고 스폰서를 변조, 은밀하게 랜섬웨어를 유포했다. 웹하드 설치 모듈 변조 기법은 2009년 7월 7일의 디도스 공격 파일 유포 방식과 동일하다. 한 북한 사이버전 전문 분석가는 “악성코드가 기존에 북한이 사용하던 것과 유사한 부분이 발견된다”면서 “유관기관에 내용을 긴급 공유했다”고 설명했다.
자금 확보 목적의 사이버 공격도 지속된다. 비트코인 거래소를 노린 공격이 진행형이다. 비트코인 트레이딩 사이트 입사 지원서로 위장한 한글 문서에서 악성코드가 발견됐다.
영국 일간 더타임스는 도·감청 전문 정보기관의 수장을 지낸 로버트 해니건 전 국장을 인용해 “북한 해킹 수준이 프리미어 리그 플레이어가 되기 직전”이라고 보도했다. 해니건은 “북한이 이란, 동남아시아, 중국 등에서 활동하고 있는 범죄 조직과 협력, 해킹 능력을 고도화했다”면서 “북한이 범죄 조직을 아웃소싱, 제3국에서 해킹 공격을 시도할 수 있다”고 경고했다. 해니건은 “북한은 해킹 시도 때 커다란 위험을 감수하며, 2차 손실 발생은 신경 쓰지 않는다”면서 “서방 세계의 북한 해킹 대처 능력은 한계가 있다”고 평가했다.
북한은 새로운 인터넷 접속 라인도 확보했다. 블룸버그 통신은 러시아 통신 기업 트란스텔레콤이 북한에 인터넷을 제공한다고 보도했다. 북한은 기존에 중국 국영 회사가 제공하는 인터넷 서비스를 받았다. 트란스텔레콤은 러시아 정부가 운영하는 철도회사 JSC 소속이다. 러시아 5대 통신업체 가운데 하나다. 브라이스 볼랜드 파이어아이 아·태 지역 최고기술책임자(CTO)는 “북한이 러시아를 경유하는 추가 통로를 확보, 미국 인터넷 접촉 차단 조치를 피하게 됐다”고 말했다.
김인순 보안 전문기자 insoon@etnews.com