해킹 사고 발생 시 배후 조직이나 국가를 어떻게 지목할까? - 문종현 센터장 인터뷰

안녕하세요? 이스트시큐리티입니다. 

최근 몇 달 사이에 국제 해킹 조직 활동이 눈에 띄게 늘었습니다. 특히 북한과 연계한 것으로 보이는 조직 '탈륨(Thallium)'이 활발하게 움직이고 있습니다. 올해 8월에는 언론사 기자를 대상으로 국내 대형 포털의 피싱 사이트를 제작해 계정을 탈취하려는 시도가 있었고, 같은 달 말에는 대북 분야 종사자를 상대로 국내 대기업의 클라우드 사진 저장 서비스를 사칭해 피싱 이메일을 보내기도 했습니다. 

9월 초에는 개성공단 등 학술 연구논문 투고를 사칭해 북한 전문가를 노린 공격을 시도한 바 있으며, 10월 초에는 통일부 북한인권기록센터로 위장해 대북관련 단체를 대상으로 스피어피싱을 시도하기도 했습니다. 불과 지난주에도 미국 대선 결과 및 향후 대북 정책 변화 등을 예상한 언론사 내부 문건으로 위장해 공격하는 등 올해 8월부터 현재까지 한국을 노린 공격을 탐지한 것만 7건입니다. 

[관련 글]

▶ 북한 연계 해킹조직 탈륨, 미국 대선 예측 언론 문서로 위장한 APT 공격 수행 (2020. 11. 04)

▶ 10월 북한 내부정보로 현혹하는 탈륨 해킹 조직의 APT 공격 (2020. 10. 30)

▶ 탈륨조직의 국내 암호화폐 지갑 펌웨어로 위장한 다차원 APT 공격 분석 (2020. 10. 16)

▶ 탈륨 APT 위협 행위자들의 흔적과 악성파일 사례별 비교 분석 (2020. 10. 13)

▶ 탈륨 조직, 개성공단 근무자 연구와 아태 연구 논문 투고로 사칭한 APT 공격 주의 (2020. 09. 03)

▶ [스페셜 리포트] 미국 MS가 고소한 탈륨 그룹, 대한민국 상대로 '페이크 스트라이커' APT 캠페인 위협 고조 (2020. 07. 25)

▶ 국방부 출신 이력서를 위장한 김수키(Kimsuky) 조직의 '블루 에스티메이트 Part7' APT 공격 주의 (2020. 03. 23)

▶ 이력서로 위장한 김수키(Kimsuky) 조직의 '블루 에스티메이트 Part5' APT 공격 주의 (2020. 03. 02)

▶ 김수키(Kimsuky) 조직, 실제 주민등록등본 파일로 둔갑한 '블루 에스티메이트 Part3' (2020. 02. 06)

▶ 청와대 행사 견적서 사칭 변종, '블루 에스티메이트 Part 2' (2020. 01. 21)

이스트시큐리티는 이러한 탈륨의 공격 동향을 분석하면서 공격 방식의 유사성 등을 통해 북한의 해킹조직인 '김수키(Kimsuky)'와 동일한 조직으로 추정하고 있습니다. 정부, 특히 북한이 지원하는 것으로 보이는 국제 해킹 조직은 상당히 많습니다. 대표적인 조직이 라자루스(Lazarus)입니다. 라자루스는 '워너크라이'라는 랜섬웨어 공격으로 유명세를 탔으며, 특히 국제적으로 해외 금융권이나 방위산업업체를 주요 표적으로 삼고 있습니다. 

앞어 언급한 김수키(Kimsuky)는 올 한해 '북한 소식통'을 사칭하며 언론사, 대북단체, 북한 전문가 등을 주로 공격했으며, 한국 역시 공격 대상이었습니다. 공격 대상을 통해 대북 관련 기관 및 민간단체에서 정보를 수집하고 있음을 유추할 수 있습니다. 금성 121은 올해 총선과 관련한 이슈로, 당시 국회의원 후보로 출마한 탈북 고위간부의 스마트폰을 해킹해 정보 유출을 시도한 것으로 알려졌습니다. 당시 이를 탐지한 이스트시큐리티는 북한식 한글을 사용한 악성 앱 등을 이유로 북한이 배후에 있다고 추정했습니다. 특히, 이들이 유출한 파일을 저장하는 서버에는 해커들이 자체 테스트를 진행하며 녹음한 북한 라디오 방송 파일 역시 존재하는 등 정황 증거가 존재했습니다. 

그렇다면 보안 전문가는 해킹 등 외부 공격이 발생했을 때 어떤 근거로 특정 국가나 조직을 지목할까요? 이스트시큐리티 시큐리티대응센터(ESRC) 문종현 센터장은 특정 지역에서 사용하는 언어나 코딩 시 나타나는 버릇, 공격 대상 및 방식, 실수로 노출한 IP 등을 종합적으로 검토해 국가나 조직을 지목할 수 있다고 설명했습니다. 특히, 한국은 북한으로 추정하는 공격의 경우 같은 언어를 쓰지만 표현에서 차이가 있기 때문에 더 정확한 분석이 가능하다고 덧붙였습니다.

한국의 경우 오래 전부터 북한의 사이버 공격을 받아왔습니다. 공식적인 기록을 살펴보면 2009년 발생한 일명 '7.7 디도스'로 청와대, 네이버, 다음 등 주요 사이트가 공격당했으며, 해당 사건에 대해 정부 차원에서 공식적으로 조사하고 북한의 소행으로 추정한다고 발표한 바 있습니다. 2012년에는 국내 언론사 홈페이지를 해킹해 정치적 목적으로 보이는 사진으로 화면을 교체한 바 있으며, 2013년에도 청와대 홈페이지를 해킹해 대통령 사진을 바꾸기도 했습니다.

공격 대상 역시 북한이탈주민 및 대북 공공/민간단체 등으로, 다른 국가의 해커가 굳이 공격할 이유가 없는 곳입니다. 예를 들어 통일부에서 운영하는 북한이탈주민정착지원사무소는 북한이탈주민이 국내 정착을 위해 일정 기간 교육을 받는 곳으로, 이 곳 역시 몇 차례 해킹을 당해 정보가 유출된 바 있습니다. 

공격 초기에는 지역을 추측할 수 있는 IP를 그대로 노출하는 등 미숙함을 보이기도 했으며, 피싱 메일에는 '인차 연락 드리겠습니다(빨리 연락 드리겠습니다)' 같은 표현이나 지령(커맨드), 봉사기(서버) 등 북한식 정보통신 용어를 사용하기도 했습니다. 이렇게 쌓아온 데이터와 공격 양상 등을 종합적으로 분석했을 때 북한 등의 특정 국가를 배후로 지목할 수 있습니다. 

문 센터장은 특정 국가의 공격이라고 발표할 경우 이를 정치적으로 해석하는 경향이 있지만, 이미 해외 보안기업의 보고서나 국내 기관의 조사를 통해 공식 확인된 사실이라고 설명했습니다. 한수원 해킹으로 잘 알려진 김수키의 경우 러시아 보안기업이 우리나라 공격 사례를 통해 이들을 북한 조직으로 추정해 보고서를 발표했으며, 2014년 발생한 라자루스의 소니픽처스 해킹에도 과거 청와대 홈페이지 해킹에 쓰였던 코드가 그대로 쓰이는 등 유사점이 많다고 설명했습니다. 

또한, 문 센터장은 최근 북한 해킹 조직에 다양한 조직명을 붙이고 있지만 큰 의미는 없다며, 어차피 특정 국가에서 조직적으로 움직이고, 개편이나 인사이동을 통해 구성원이 바뀌기도 한다고 전했습니다. 김수키에서 활동하던 해커가 금성121로 이동할 수도 있다는 의미입니다. 사건사고를 관리하는 측면에서는 조직명을 나눌 수 있지만, 사람이 하는 일인 만큼 얼마든지 위장하고 조작할 수도 있습니다. 이 때문에 나무(개별 조직)가 아닌 숲(배후 국가)을 봐야 한다고 설명했습니다. 

>> 보안뉴스 기사 원문 보기 

사이버 공격은 집에 도둑이 든 것과 다르게 흔적을 남기지 않아 피해 기업이 피해 사실조차 인지하지 못하는 특수성이 있습니다. 이 때문에 민관이 합동해 공격에 대응하고, 특히 민간 기업이 국민을 적극적으로 보호할 수 있는 제도적 발판이 필요합니다. 

이스트시큐리티는 외부 보안 위협에 신속하게 대응하고 발견된 보안 위협에 대해 백신 긴급 업데이트 및 보안 공지를 통해 사용자들에게 알리고, 정부 기관에도 위협정보를 공유해 빠른 선제 조처를 할 수 있도록 지속적으로 최선을 다할 예정입니다.

감사합니다.