방위산업 분야를 겨냥한 북한 해킹에 대응하기 위해 미국 정부가 팔을 걷어붙였다.
미국 국토안보부(DHS) 산하 사이버·인프라안보국(CISA)과 연방수사국(FBI)은 19일(현지시간) 방산 분야 북한 사이버공격에 관한 멀웨어 분석 보고서(MAR)를 발표하면서 침해지표(IOC)를 공개했다.
이들 기관은 이번에 포착된 악성코드를 원격제어 트로이목마(RAT) '블라인딩캔'이라고 명명하고 '히든코브라' 소행으로 지목했다. '히든코브라'는 북한 정부가 지원하는 해킹조직으로 '라자루스'라고도 불린다.
보고서에 따르면 '히든코브라'는 올해 초 국방과 에너지 핵심 기술 정보를 수집하기 위해 미국 정부 하청업체를 해킹했다. 공격을 위해 주요 방산 기업 구인구직 공고를 사칭한 악성 문서를 유포했으며 시스템이 감염되면 정보를 유출하도록 설계했다.
표적을 유인하기 위해 특정 기업 로고와 제품 이미지를 활용하는 사회공학 공격을 펼쳤다. 명령제어(C2) 서버 호스팅을 위해 앞서 침해한 여러 국가 기반시설을 활용했다. 이 악성코드에 감염되면 정보 유출과 시스템 파괴 우려가 있다.
미국 정부 관계자는 “북한 사이버공격에 대한 노출을 줄이고 네트워크를 보호하기 위해 보고서를 발간한다”면서 “이 악성코드와 관련된 활동에 주의를 기울이고 포착 시 CISA와 FBI로 보고해야 하며 감염 예방을 최우선순위에 둬야 한다”고 강조했다.
피해를 막기 위한 권고사항도 제시했다. △백신과 운용체계(OS)를 최신 버전으로 유지 △파일 공유와 프린터 공유 서비스를 비활성화하고 사용 시 강력한 비밀번호와 액티브디렉토리(AD) 인증을 사용 △불필요한 소프트웨어(SW)와 애플리케이션(앱)을 동작시키지 말고 사용자 권한을 제한할 것 등이 포함됐다.
한편 미국 정부는 북한 사이버공격에 관해 지속 경고해 왔다. 미국 국무부, 재무부, CISA, FBI는 지난 4월 북한 사이버위협 주의보를 발령하면서 북한이 국제연합(UN) 제재 아래 사이버범죄 등 불법 활동에 의존하고 있으며 이를 통해 대량살상무기와 탄도미사일 개발 자금을 만들고 있다고 지적했다.
오다인기자 ohdain@etnews.com