北해커 보안인증·화상통신 SW로 침투시도, 韓·英 공동 분석·확인

임종철 디자이너 /사진=임종철 디자이너

60만곳에 이르는 기업·기관이 사용하는 화상통신 앱이나 국내 수천만명이 사용하는 보안인증 SW(소프트웨어)를 통한 북한 해커의 사이버 침해 행위를 한국·영국 정보기관이 공동으로 분석·확인했다.

국가정보원 NCSC(국가사이버안보센터)는 23일 영국 GCHQ(정부통신본부) 소속 NCSC와 합동으로 발표한 사이버보안 권고문을 통해 다수의 기업·개인이 사용하는 공급망 제품을 대상으로 한 북한 해킹 조직의 해킹 수법을 확인하고 피해 예방을 위한 보안 강화를 당부했다.

양국 NCSC는 전문요원간 공조와 양국 정보보안 업체와의 기술협업도 병행해 북한 해킹조직의 수법을 공식 확인했다. 국정원은 "우리 국정원 뿐 아니라 영국의 정보기관에서도 북한의 사이버 침해행위임을 함께 확인하고 인정했다는 데 의미가 있다"고 설명했다.

국정원에 따르면 북한 해킹 조직은 기관 내부망에 침투하기 위해 워터링홀 공격 수법을 통해 기관의 인터넷 PC를 우선 점거했다. 이어 보안인증 SW인 '매직라인4NX'(MagicLine4NX)와 망연계 시스템이 가진 취약점을 악용해 내부망에 접근, 자료 절취를 시도했다. 매직라인4NX는 국내에서 수천만명이 이용 중인 보안인증 SW다.

국정원은 북한이 최근까지 공격을 시도하는 것을 포착해 지난 6월과 이달 두 차례에 걸쳐 유관기관과 함께 선제적 조치를 취하기도 했다. 국정원은 이번 권고문을 통해 매직라인4NX 업데이트, 망분리 장비의 비인가 서비스 및 통신 점검 등 예방조치 이행을 강조했다.

아울러 북한 해킹 조직은 항공우주, 의료 등 분야의 60만 기업·기관이 사용하는 화상통신 SW '3CX 데스크톱 앱'도 노렸다. 해커는 3CX 개발과정에 침투해 설치 프로그램에 악성코드를 숨겼고 3CX 공식 웹사이트를 통해 수많은 고객들의 PC를 감염시켰다. 이 악성코드는 최소 7일이 지난 후 가동돼 피해자들의 3CX 계정정보, 크롬·엣지 등 웹브라우저 정보를 훔치는 데 쓰였다.

한·영 양국 NCSC는 현재 3CX SW 업데이트를 통해 대응하고 있지만 유사사례 방지를 통해 백신 최신 업데이트 등을 당부했다.

국정원은 "전일(22일) 정상회담에서 양국의 긴밀한 사이버 안보 협력을 위한 '사이버분야 파트너십'이 체결됐다"며 "(이번 합동 권고문은) 체결 직후 조치된 첫 번째 양국간 협력 결과물"이라고 했다.

또 "이제까지 영국은 미국, 영국, 캐나다, 호주, 뉴질랜드 등 파이브아이즈 이외의 국가들과 사이버보안 권고문을 발표한 전례가 없었다"며 "한국이 첫 사례로서 사이버안보에 대한 양구간 긴밀한 협력 의지를 보여주는 대목"이라고 했다.

국정원은 올 2월부터 주요국들과 합동 권고문을 발표하고 있다. 올 2월에는 미국 NSA(국가안보국), 3월에는 독일 헌법보호청, 6월에는 미국 DOS(국무부) 등과 발표문을 합동으로 냈고 이번에 네 번째로 영국과 합동발표문을 냈다.

김규현 국정원장은 "이번 영국 사이버안보기관과 보안권고문을 발표한 것은 양국의 확고한 대북 사이버억지 의지를 보여준 것"이라며 "앞으로도 국제적 사이버안보 위협 활동을 억지·차단하기 위해 최선을 다할 것"이라고 했다.

황국상 기자 gshwang@mt.co.kr