[임현석의 두근두근 IT]북한 해킹 공격의 먹잇감 된 ‘액티브X’

북한이 한국의 취약한 인터넷 보안환경을 노린 해킹 공격을 집중적으로 시도하는 것으로 나타났다. 아직도 액티브X를 주로 사용하는 국내 인터넷 보안환경이 문제였다.

30일 보안업계에 따르면, 북한으로 추정되는 세력이 지난해 6월부터 이달 현재까지 약 1년 동안 국내 외교, 우주항공, 노동조합, 등과 관련된 학회와 협회 등 총 10개 웹사이트를 공격했다. 한국인터넷진흥원(KISA) 관계자는 “해당 웹사이트 방문자를 대상으로 액티브X에 악성코드를 심는 방식으로 해킹이 시도됐다”고 설명했다.

공격 대상은 민간학회와 노동조합, 병원 등이다. 기업과 정부 공공기관을 해킹하기 어려워지자 상대적으로 접근이 쉬운 협회와 학회, 조합 등을 공략한 것으로 보인다. 하지만 공격 대상이 된 단체들은 해킹당한 사실조차 모르고 있었던 것으로 나타났다.

해커들은 사이트 방문자를 악성코드에 감염시키기 위해 전자결제, 인증 등 10개의 국내 소프트웨어의 ‘액티브X’ 프로그램을 이용했다. 악성코드 유포 당시 패치가 존재하지 않는 이른바 ‘제로데이 취약점’을 활용한 악성코드를 유포했다. 특정 시간대에 아주 짧은 시간 동안만 유포하거나 특정 사용자만을 식별하여 유포하는 방식으로 장기간 들키지 않고 악성코드를 유포하는 전략을 썼다.

보안업계는 이번에 유포된 악성코드가 지난해 수사기관이 북한 소행으로 결론지은 악성코드와 유사하다고 분석했다. 한 인터넷 보안 전문가는 “이번에 확인된 악성코드는 암호화 기술이 기존 북한 소행으로 밝혀진 악성코드와 닮은꼴로, 명령제어 등 여러 측면에서 연관성이 발견된다”고 설명했다.

악성코드들은 사용자PC를 원격에서 제어하여 정보를 탈취하거나, 또 다른 악성코드를 전송할 수 있는 해킹 프로그램이다. 보안업계서는 해커가 특정 방문자를 염두에 두고 이들의 접속 동선을 예측하는 ‘워터링홀’기법을 쓴 것으로 보고 있다. 주로 통일관련 학회나 외교, 노동문제를 연구하는 기관에 국회의원이나 고위 공무원이 접근할 것을 예상해 해킹툴을 배포했을 가능성이 높다는 것이다.

이와 같은 해킹이 가능한 것은 여전히 국내서 보안에 취약한 액티브X 프로그램이 널리 쓰이고 있기 때문이다. 보안업체 하우리의 최상명 서트실장은 “액티브X 취약점을 찾는 것은 다른 소프트웨어들에 비해 상당히 쉬운 편으로 북한의 입장에서는 악성코드를 유포하는 공격에 활용하기엔 최적의 무기”라고 설명했다. 이미 북한 소행으로 밝혀진 2013년 3월 20일 금융사 해킹사건 역시 액티브X의 금융보안 모듈을 통해 공격을 시도한 사례였다.

마이크로소프트(MS)조차 ‘윈도우 10’부터는 액티브X를 지원하지 않겠다고 밝혔을 만큼 구시대의 유물로 꼽힌다. 새로운 웹표준 기술인 HTML5로 적용이 빨라지는 분위기다. 문재인 대통령도 후보자 시절, 공공기관 홈페이지에서 액티브X를 완전 퇴출하겠다고 밝혔지만 민간 분야 확산 여부는 불투명하다. 정부기관을 공략하지 못하는 해커들에게 액티브X는 먹잇감으로 남겨질 전망이다.

이에 대해 KISA 관계자는 “국내 중소기업의 액티브X 등 비표준 기술사용을 줄이기 위한 웹 표준 전환 지원 사업을 계속적으로 추진할 예정”이라고 밝혔다.

임현석 기자 lhs@donga.com