"북한 추정 조직 다년간 사이버첩보 활동 수행"

[김국배기자] 북한으로 추정되는 조직이 지난 2011년부터 3년간 국가 주요 기관 및 연구 기관 등을 대상으로 정보수집을 위한 사이버첩보 활동을 수행한 것으로 추정된다는 분석이 제기됐다.

12일 하우리(대표 김희천)는 이같은 내용을 발표하며 지난 3년간 약 수백 명이 대상이 돼 정보수집 악성코드 공격을 받았으며 일부 실제 감염 대상으로부터 기밀정보들이 외부로 유출된 것으로 파악됐다고 밝혔다.

하우리 측은 "악성코드에 사용된 암호화 기법이 기존 북한의 소행으로 알려진 악성코드들과 상당 부분 유사하고 개발 경로 및 이메일 프로토콜에 한글이 사용됐으며 일부 문서에 북한 폰트인 '청봉체'가 포함됐다는 점 등이 해당 조직을 북한으로 추정할 수 있는 요소"라고 말했다.

하우리는 또한 해커조직의 IP 대역이 대남 사이버전 수행 거점을 설치하여 정보를 수집중인 것으로 알려진 북한 정찰총국이 소재한 중국 동북3성(랴오닝성, 지린성, 헤이룬장성) 등에 위치한 것도 또 다른 추정 근거로 내세웠다.

하우리는 "중앙명령제어(C&C) 서버를 제어하는 해커조직의 관리자 IP가 국내에서 북한의 김정일 일가를 찬양하는 게시글을 올린 IP와 일치한다"고 설명했다.

해당 조직이 공격 대상으로 삼은 부분은 ▲국방, 외교, 통일 관련 정부 부처 ▲국방, 외교, 통일 관련 연구기관 전·현직 원장 및 연구원 ▲전·현직 외교관 및 해외 주제국 대사 ▲예비역 장성 ▲장관 후보자 ▲탈북자 관련 단체 및 탈북자 등이다.

이들은 공격 대상에게 정보수집을 위한 악성코드를 감염시키기 위해 주로 한글 문서 취약점을 이용했다. 한글 문서는 첨부파일 형태로 이메일을 통해 전달됐고 대부분 감염 당시 패치가 존재하지 않는 제로데이 취약점을 악용했다.

특히 국방 관련자에게는 국방관련 행사 초청 내용을, 연구기관에는 관련 연구 논문이나 연구 주제 내용을 보내는 등 각각의 대상에게 '맞춤형' 이메일을 전달했다.

해당 조직은 악성코드에 감염된 대상을 제어하기 위해 명령제어(C&C) 프로토콜로 이메일을 사용했다. 이메일 프로토콜을 사용할 경우 정상적인 이메일 트래픽과 구분이 어려워 네트워크 탐지 장비를 우회할 수 있고 SSL 등의 암호화 보안 프로토콜을 사용할 경우 탐지가 더욱 어려워진다.

해당 조직은 악성코드를 통해 작업 화면 캡쳐, 키로깅, 각종 웹 브라우저에 저장된 계정 정보 수집, 하드디스크 파일 목록 수집, 한글문서를 포함한 각종 문서 파일 수집, 추가 악성코드 다운로드 및 실행 등 사이버첩보 활동을 수행했다.

하우리 선행연구팀 최상명 팀장은 "이미 오래 전부터 북한으로 추정되는 해커조직들이 국내를 대상으로 사이버첩보활동을 수행하고 있었다"며 "이제는 공론화하고 효과적으로 대응할 수 있는 방안을 찾는 데 주력할 것"이라고 말했다.