건설·기계 사업체·기관 노리는 北 해커…어떤 정보 노렸나

국정원 등 사이버안보 정보공동체, 합동 사이버 보안권고문 배포
국내 건설·기계 분야를 대상으로 자행한 사이버공격 위험성 알려
SW 배포 시 엄격한 승인 정책·OS·응용프로그램에 대한 최신 버전 유지해야

[서울=뉴시스]

[서울=뉴시스]송혜리 기자 = 김수키, 안다리엘 등 북한 해킹조직이 국내 건설·기계 사업체와 기관을 겨냥해 정보 유출을 위한 사이버 공격을 시도하고 있는 것으로 나타났다.

국가정보원·검찰청·경찰청·국군방첩사령부·사이버작전사령부 등 사이버안보 정보공동체(이하 정보공동체)는 5일 합동 사이버 보안 권고문을 내고 북한 해킹 조직이 국내 건설·기계 분야를 상대로 사이버 공격을 진행하고 있다며, 관련 종사자들의 주의를 당부했다.

정보공동체에 따르면 북한은 지난 1월 개최한 제14기 제10차 최고인민회의에서 김정은 북한 국무위원장이 '지방발전20×10 정책'을 공식화한 후 매년 20개 시·군에 현대화된 공업공장 건설을 추진하고 있다. 현재 북한의 당·군·정은 앞다퉈 정책 관철을 위해 매진하고 있으며, 북한 해킹조직도 이와 다르지 않다고 봤다.

김수키·안다리엘 1월부터 공격 자행…공급망 공격·워터링홀 기법 사용

정보공동체에 따르면, 건설·기계 단체·지자체 공무원 대상 해킹 공격이 전년 대비 급증했다. 해킹 활동의 주체를 북한 정찰총국 산하 김수키, 안다리엘 해킹 조직으로 추정된다. 정보공동체는 북한이 무단 절취한 국내 건설·기계 및 도시건설 분야 자료들을 공업공장 건설과 지방발전 계획에 사용할 것으로 추정했다.

실제 지난 1월 김수키 해킹조직은 국내 건설 분야 직능단체 홈페이지를 통해 악성코드를 유포했다.

악성코드는 홈페이지 로그인 시 사용되는 보안인증 소프트웨어에 은닉돼 있었다. 이로 인해 홈페이지에 접속한 지자체, 공공기관, 건설 기업의 관련 업무 담당자 PC가 감염됐다. 분석 결과, 정상 배포 채널을 변조한 공급망 공격과 건설·설계 전문가가 자주 방문하는 홈페이지를 통해 유포하는 워터링홀이 결합된 공격으로 확인됐다.

공급망 공격이란 해커가 소프트웨어나 하드웨어의 공급망에 침투해 최종 사용자에게 도달하기 전에 악성 코드를 삽입하거나 시스템을 손상시키는 공격을 말한다. 이를 통해 해커는 공급망의 신뢰를 악용해 널리 배포된 소프트웨어나 하드웨어에 악성 코드를 전파할 수 있다.

워터링홀 공격은 해커가 특정 그룹이나 조직이 자주 방문하는 웹사이트를 미리 파악한 후, 그 웹사이트에 악성 코드를 심어두는 방식의 공격이다. 이를 통해 해커는 해당 웹사이트를 방문하는 이용자들의 PC에 악성코드를 설치할 수 있다..

또 지난 4월 안다리엘 해킹조직은 가상사설망(VPN)·서버보안 소프트웨어에 대한 취약점을 악용, 업데이트 파일을 악성코드로 교체·실행하는 수법을 사용했다. 이를 통해 건설·기계업체 등에 원격제어 악성코드(DoraRAT)를 유포했다.

정부 사이버보안 권고에 관심 가져야

정보공동체는 정찰총국 산하 2개 해킹조직이 같은 시기에 동일한 정책적 목적을 달성하기 위해 특정 분야를 집중 공격하는 것은 이례적인 일로 철저한 대비가 필요하다고 당부했다.

아울러 이번 북한의 해킹사례는 개인의 부주의 때문에 발생한 문제가 아닌, 홈페이지와 정보보안 소프트웨어의 취약점을 악용하고 있다는 점을 유의할 필요가 있다고 설명했다. 앞으로도 북한 해킹조직은 서비스·제품에 대한 취약점을 지속 노릴 것으로 전망되는 만큼, 조직 구성원과 더불어 조직의 IT·보안 담당자의 피해 완화 노력이 중요하다고 강조했다.

정보공동체는 조직 구성원 대상 지속적인 보안교육, 운영체제·응용프로그램에 대한 최신 버전 유지, 소프트웨어 배포에 대해 엄격한 승인 정책, 정부 사이버보안 권고에 대한 관심 등을 당부했다.

☞공감언론 뉴시스 chewoo@newsis.com