“북한 해커 수년간 한국 주요부처 공격…기밀 빼가"

우리 군의 중요한 군사정보나 외교정보 들이 북한소속으로 추정되는 해커의 공격으로 수년에 걸쳐 유출됐다는 주장이 나와 파장이 일고있다

정보보안 업체 하우리는 북한 소속으로 추정되는 해커 조직이 2011년부터 국가 주요 기관과 연구 기관을 상대로 정보수집을 위한 사이버 첩보 활동을 해왔다고 12일 밝혔다.

이들의 공격대상은 △국방·외교·통일관련 정부부처 △국방·외교·통일관련 연구기관 전·현직 원장 △국방·외교·통일관련 연구기관 연구원 △전·현직 외교관 및 해외주재국 대사 △예비역 장성 △장관 후보자 △국방, 외교, 통일 관련 자문위원에 속한 교수 △탈북자관련 단체 및 탈북자 등으로 나타났다.

하우리에 따르면 공격은 전자우편(이메일)으로 악성코드가 담긴 한글 문서 파일이나 행사 초청장을 보내는 식으로 주로 이뤄졌는데, 국방 관련자에게는 국방관련 행사 초청 내용 등으로, 연구기관 등에는 관련 연구논문 및 연구주제 등의 내용으로 전달돼 첨부파일을 읽도록 유도했다.

이 전자우편은 정상적인 전자우편과 구분되지 않도록 명령제어(C&C) 프로토콜로 이메일을 사용해 탐지가 어려웠던 것으로 분석됐다.때문에 공격받은 기관에는 정보 수집을 위한 악성코드가 설치됐고 일부 기밀 사항은 실제로 유출되기도 했다고 하우리는 설명했다.

하우리 최상명 선행연구팀장은 이들 조직이 북한으로 추정되는 이유에 대해, 악성코드에 사용된 암호화 기법은 기존에 북한의 소행으로 알려진 악성코드와 상당히 비슷하고, 악성코드 개발 경로와 전자우편 명령어에 한글이 사용된 점, 그리고 일부 문서에 포함된 북한 폰트인 ‘청봉체’ 등을 꼽았다.

또한 이메일 C&C를 통해 명령을 제어하는 해커조직의 관리자 IP가 국내에서 북한의 김정일 일가를 찬양하는 게시글을 올린 IP와 일치하는 점도 해당 조직이 북한으로 추정되는 다른 이유다.

최 팀장은 “수년 전부터 북한으로 추정되는 해커조직들이 국내 정부 기관을 대상으로 사이버첩보활동을 하고 있어 문제를 공론화하고 효과적으로 대응할 방안을 찾으려고 공개하게 됐다”고 이번 발표의 배경을 설명했다.

러시아의 유명 컴퓨터 백신 업체인 카스퍼스키랩의 한국 지사도 이날 국내 주요 기관을 노린 사이버 스파이 활동을 발견했다며 공격 주체가 북한과 관련이 있다고 밝혔다.

카스퍼스키랩에 따르면 사이버 스파이 활동은 'Kimsuky'로 불리며 통일부, 세종연구소, 한국국방연구원, 현대상선을 포함한 국내 주요 정부 기관과 기업을 노렸다.

공격 세력은 악성코드에 감염된 전자우편을 통해 자판(키보드) 입력 기록 정보, 디렉터리 목록, 한글 문서를 빼간 것으로 분석됐다.

악성 코드에는 '공격', '완성' 처럼 한국어 문자열이 포함됐다. 공격자의 IP주소는 북한과 연결된 인터넷 회선이 발견된 중국 업체로 나왔다.

카스퍼스키랩 관계자는 “4월 3일 스파이 활동의 초기 징후를 감지했고 5월 5일에 Kimsuky 트로이목마 샘플을 발견했다”며 “대한민국의 주요 기관을 대상으로 한 제한적이고 고도로 표적화된 공격”이라고 분석했다.