북한 정부가 남북연락사무소를 폭파한 직후 청와대를 겨냥해 해킹 공격을 감행한 것으로 드러났다.
이스트시큐리티 시큐리티대응센터(ESRC)는 19일 새벽 청와대를 사칭한 악성 파일을 발견하고 관계자 주의를 당부했다.
문종현 ESRC 센터장은 “파일 아이콘에 청와대 이미지를 도용한 악성 파일을 발견했다”면서 “이 파일에 북한식 표현이 포함돼 북한발 소행으로 추정된다”고 말했다.
이번 악성 파일은 윈도 스크립트(확장자 WSF)와 화면보호기(SCR) 파일 형태로 발견됐다. 청와대 보안 서비스로 위장했다. 파일을 실행하면 '보안 메일 현시에 안전합니다'라는 알림창이 뜨는데 '현시'는 북한에서 쓰는 일상적인 표현이다. 북한 해킹조직이 제작하는 악성 파일에서 여러 차례 포착됐다.
문 센터장은 “(현시라고 쓴 것은) 국내 이용자가 잘 쓰지 않는 표현임을 간과한 실수로 보인다”면서 “북한에선 너무 일상적인 표현이라 무심결에 쓴 것 같다”고 설명했다.
ESRC는 분석 과정에서 공격자 명령제어(C2) 서버 경유지가 청와대 공식 홈페이지로 리디렉션되는 사실도 발견했다. 실제 청와대에서 발송한 보안 파일인 것처럼 속이기 위한 조치로 분석된다. ESRC는 북한 배후로 추정되는 '김수키' 해킹조직이 이메일을 통해 청와대 관계자에게 악성 파일을 유포했을 것으로 본다.
문 센터장은 “파일 아이콘에 청와대 이미지를 쓴 점, 사이트를 청와대 공식 사이트로 연결하는 점으로 봐서 일반 국민을 겨냥한 공격으로 보이진 않는다”고 말했다.
악성 파일이 새벽에 제작됐다는 사실도 우려를 키운다. 문 센터장은 “분석 결과 이번 악성 파일은 자정이 지난 시각에 만들어졌다”면서 “밤늦게까지 악성 파일을 만든다는 건 그만큼 상황이 긴박하게 돌아간다는 것”이라고 경고했다.
악성 파일에 감염되면 1차로 개인용컴퓨터(PC) 정보가 공격자에게 넘어간다. 공격자는 감염자가 보안 관계자인지 표적인지 판단한 후 표적에게만 추가 악성 파일을 내려보낸다. 단순히 악성코드 하나가 유포되는 것이 아니라 보안 모니터링을 우회하기 위한 '치밀하고 단계적인 공격'이 진행되는 것이라고 문 센터장은 설명했다.
이번 공격은 지난해 말 청와대 상춘재에서 열린 베트남 영부인 친교 행사를 악용한 지능형지속위협(APT) 공격과 유사성이 높게 조사됐다. 유사한 변종 공격이 지속 감행될 경우 작전이 아닌 '캠페인'으로 명명, 공격 심각도가 격상된 것으로 본다.
국내 보안 유관기관은 남북연락사무소 폭파 직후 북한이 사이버공격을 강화한 사실을 포착하고 경계 태세에 돌입한 상태다.
오다인기자 ohdain@etnews.com