"지방발전" 김정은 명 떨어지자…김수키, 건설분야 공격

국정원 등 정보공동체 보안권고문 발표
'건설·기계' 北 해킹공격 전년 대비 급증
'지방발전 20×10' 김정은 정책 연관성

방첩 당국이 국내 건설·기계 분야를 겨냥한 북한 해킹조직의 기술 절취 가능성을 경고하는 합동 보안권고문을 냈다.

5일 국가사이버안보센터에 따르면 국가정보원과 검찰청, 경찰청, 국군방첩사령부, 사이버작전사령부 등이 참가하는 '사이버안보 정보공동체'는 이날 발표한 합동 보안권고문을 통해 "건설·기계 단체 및 지자체 공무원 대상 해킹 공격이 전년 대비 급증한 것을 확인했다"며 "북한이 무단 절취한 우리나라의 건설·기계 및 도시건설 분야 자료들을 공업공장 건설과 지방발전 계획에 사용할 것으로 추정한다"고 밝혔다.

북한 배후 해킹조직

특히 이번 권고문에 포함된 해킹 활동의 주체를 북한 정찰총국 산하 김수키 및 안다리엘 해킹조직으로 평가하며 "정찰총국 산하 해킹조직들이 같은 시기에 동일한 정책적 목적을 달성하기 위해 특정 분야를 집중 공격하는 것은 이례적"이라고 경고했다.

북한 해킹조직 김수키는 올해 1월 우리나라 건설 분야의 한 직능단체 홈페이지를 통해 악성코드를 유포했다. 악성코드는 홈페이지 로그인에 사용되는 보안 인증 소프트웨어에 은닉됐고 이로 인해 홈페이지에 접속한 지자체, 공공기관, 건설기업의 관련 업무 담당자 PC가 감염됐다. 유효한 디지털 인증서를 사전에 절취한 뒤 변조된 소프트웨어 파일에 서명하고 정상 보안인증 소프트웨어와 함께 유포하는 등 치밀한 준비 작업을 거친 것으로 조사됐다.

지난 4월에는 또 다른 북한 해킹조직 안다리엘이 공격을 감행했다. 국내 정보보안 소프트웨어에 대한 취약점을 악용해 업데이트 파일을 악성코드로 교체·실행하는 수법을 통해 건설·기계업체 등에 원격제어 악성코드(DoraRAT)를 유포한 것으로 파악됐다. 공격에 사용된 원격제어 악성코드는 파일 업·다운로드, 명령 실행 등 단순하고 경량화된 형태로 만들어졌다. 감염 PC에서 대용·다량의 파일 절취가 가능한 '파일절취형 악성코드'도 확인됐다.

정보공동체는 김수키의 공격 등에 대해 북한이 건설 분야 공직자 해킹을 교두보로 삼아, 주요 건설사업 정보와 사업에 참여한 건설기업의 기술 자료 절취를 시도한 것으로 추정했다. 특히 이런 사례들이 개인 부주의가 아닌 홈페이지와 정보보안 소프트웨어의 취약점으로 인해 발생했다고 짚으면서 "북한이 서비스·제품에 대한 취약점을 지속해서 노릴 것으로 전망되는 만큼 조직 구성원과 IT(정보기술)·보안 담당자의 피해 완화 노력이 중요하다"고 밝혔다.

국내 건설·기계 단체에 대한 해킹 시도는 북한의 공업 정책과 무관치 않다는 분석이 나온다. 김정은 북한 국무위원장이 올해 1월 최고인민회의에서 "인민생활을 향상시키는 데서 중요한 문제는 수도와 지방의 차이, 지역 간 불균형을 극복하는 것"이라며 이른바 '지방발전 20×10 정책'을 제시한 뒤 북한은 매년 20개 시·군에 현대화된 공업공장 건설을 추진하고 있다.

한편 사이버안보 정보공동체는 국제 및 국가 배후 해킹조직의 불법 사이버 활동에 대한 억지력 확보를 목표로 관계기관 간 긴밀한 협력 체계 구축을 위해 지난해 7월 발족했다. 주요 임무는 ▲국제 및 국가 배후 해킹조직의 주요 공격수법 공동 공개 ▲사이버 안보 위해자 공개수배·기소 등 법적 조치 ▲불법 활동에 대한 견제 및 억제력 확보 등이다.

장희준 기자 junh@asiae.co.kr