[아이뉴스24 성지은 기자] 남북의 외교적 평화 기류에도 북한발 사이버 공격은 현재진행형이다.
최근 국회 국방위원회 간사 백승주 자유한국당 의원을 사칭한 악성메일이 포착된 가운데, 지난달 북한 정부의 지원을 받는 해커그룹이 활성화된 모습을 보인 것으로 나타났다.
물밑에서 한국 정부의 외교·정치 정보를 수집하고 외화를 탈취하기 위해 공격을 수행한 것으로 보인다는 분석이 나왔다.
15일 보안기업 NSHC '월간 해킹그룹 동향 보고서'에 따르면, 지난 10월 21일부터 11월 20일까지 북한 정부 지원을 받는 해킹그룹의 활동이 다수 발견됐다.
먼저 '킴수키'라는 이름으로 알려진 해킹그룹은 지난달 새로운 악성코드를 집중 제작하면서 왕성한 활동을 보였다. 킴수키는 과거 한국수력원자력을 해킹한 주범이다. 한국 정부와 관련된 외교·정치정보를 수집할 목적으로 공격에 집중한 것으로 풀이된다.
이들은 원격제어 프로그램 '팀뷰어' 소스코드 기반으로 악성코드를 제작하기도 했다. 이 악성코드는 팀뷰어가 서비스하는 원격제어 중개서버로 접속을 시도하는 특징을 지녔다. 보안장비를 우회하고 악성코드 감염 여부 판별을 어렵게 할 목적으로 상용 프로그램의 소스코드를 악성코드 공격에 활용한 것으로 해석된다.
NSHC 측은 보고서를 통해" 이러한 사항을 고려 할 때 방어 전략 차원에서 조직 내부에서 원격제어 소프트웨어의 활용과 사용 이력을 다시 검토할 필요가 있을 것"이라고 조언했다.
'스카크러프트'라 불리는 또 다른 그룹은 암호화폐 거래소를 포함해 IT 금융기업 담당자 등을 대상으로 표적형(스피어 피싱) 이메일 공격을 시도했다. '유사수신행위.hwp', '※ 기 록 부.hwp' 같은 파일명을 사용해 호기심을 유도하고 한글파일을 열어보도록 해 악성코드에 감염시켰다. 이들은 과거에 사용한 악성코드 일부를 수정 활용하기도 했다.
이와 함께 '블루노프'라 불리는 해킹그룹은 스카크러프트와 유사한 해킹 기법으로 공격을 시도했다. 두 그룹이 해킹을 위해 정보를 교환한 것으로 추정된다는 게 NSHC 측 설명이다.
발견된 한글파일 형태의 악성코드는 '국가핵심인력등록관리제등검토요청(10.16)(김경환변호사).hwp'라는 파일명을 사용하는데, 이 파일을 열람할 경우 '국가핵심기술 보유인력 등록 관리제'라는 제목의 문서내용이 출력된다.
IT·암호화폐 관련 법률자문을 전문으로 하는 현직 변호사의 성명을 활용한 점, IT기술 관련 내용을 포함한다는 점 등을 미뤄봤을 때, 암호화폐 거래 전문기업 또는 암호화폐 거래자를 대상으로 해킹을 시도한 것으로 판단된다.
NSHC 측은 "한국의 경우 암호화폐 거래소와 함께 암호화폐를 보유한 개인 거래자도 해킹 대상으로 포함한 것으로 판단된다"며 "경제 제재를 받는 현실 상황을 극복하기 위해 전략적인 수단으로 해외 금융기관 해킹과 한국 내 암호화폐 탈취를 목적으로 삼는 것"이라고 분석했다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기