‘북한발 추정’ 사이버 공격 여전…“정보 수집 활발”

입력 : ㅣ 수정 : 2018-07-05 10:17

폰트 확대 폰트 축소 프린트하기
보안업계 “남북정상회담 후에도 국내 병원·기업 공격…수법 진화”
한반도 화해 무드에도 북한발로 추정되는 사이버 공격이 잇따르고 있다. 정보 수집과 외화벌이를 위한 해킹은 여전하다는 게 보안업계의 분석이다.

5일 보안업계에 따르면 4·27 남북정상회담 이후 남북이 모든 공간에서 적대적 행위를 중지하기로 했지만, 북한발로 짐작되는 사이버 공격은 줄지 않은 것으로 파악된다.

남북정상회담 이후 국내 병원과 제조기업 중에서 북한 해커 그룹 ‘히든 코브라’(Hidden Cobra)가 제작한 악성코드에 감염된 사례가 확인됐다. ‘래저러스’(Lazarus)로도 불리는 이 집단은 작년 6월 세계를 강타한 ‘워너크라이’ 랜섬웨어의 배후로 꼽힌다.

미국 국토안보부와 연방수사국은 북미정상회담을 앞둔 지난 5월 말 히든 코브라의 악성 사이버 활동에 대한 경보를 내리기도 했다. 미국 정부는 이들이 악성 소프트웨어 2종을 이용해 미국과 전 세계의 항공우주, 금융, 언론기관의 정보를 빼낸 것으로 추정했다.

최근 국내에 유포된 ‘남북이산가족찾기 전수조사’ 사칭 이메일 역시 북한 해커들이 제작한 것으로 추정된다. 공격자가 한글 표현이 포함된 그림 파일을 직접 제작해 사용한 정황이 포착됐고, 러시아어 코드도 일부러 남긴 교란용 지문일 가능성이 크다는 게 업계의 분석이다.

미국 사이버 보안업체 에일리언볼트는 지난달 초 빗썸을 비롯해 국내 가상화폐 거래소 관계자에게 발송된 이메일을 분석한 결과 과거 래저러스가 배포한 스피어피싱 이메일과 유사점이 많다고 밝혔다.

해킹수법은 오히려 진화하고 있다.

기존 이메일 공격의 경우 문서파일을 직접 첨부해 유포했지만, ‘남북이산가족찾기’ 이메일은 보안이 적용된 HTML 파일로 위장했다.

SK인포섹 이재우 이큐스트그룹장은 “남북정상회담 이후 북한으로 추정되는 공격이 정보 탈취에서 정보 수집 양상으로 변하고 있다”며 “기존에는 서버 정보를 탈취하는 경우가 많았다면 최근에는 기업 정보나 일반 이용자 PC의 개인정보를 수집한다”고 설명했다.

하지만 보안업계는 최근의 화해 무드를 고려해 공개적인 언급을 꺼리는 분위기다. 북한발 공격을 탐지하더라도 대외적으로 발표하지 않는 경우가 많다는 게 보안 전문가들의 전언이다.

이 그룹장도 “정상회담 이후 ‘이슈 메이킹’하는 걸 자제하고 있다. 탐지는 했는데 아직 오픈은 하지 않고 있다”고 말했다.

또 다른 보안 전문가는 “북한 관련 해킹은 아무래도 정부 기관이 주도해 조사하다 보니 업계가 나서 이슈화하는 데 부담이 있다”며 “하지만 최근 북한 해커들의 움직임을 보면 사이버 공간은 판문점 선언에서 밝힌 적대적 행위 중단에서 제외된 공간처럼 보인다”고 말했다.

연합뉴스
페이스북 트위터 카카오스토리 밴드 블로그

서울Eye - 포토더보기