北해킹, 구글-MS도 긴장… “가짜 사이트로 연구원 유인”

신동진 기자 입력 2021-04-08 03:00수정 2021-04-08 03:06
공유하기뉴스듣기프린트
공유하기 닫기
터키 보안업체 사이트 위장… 트위터에 가짜 임원 계정 만들어
클릭하면 악성코드 감염시켜… 구글 “공급망 공격땐 치명적” 경고
北, 세계 4번째 해킹 시도 국가… 한국에 매일 158만건 사이버 공격
구글 위협분석그룹(TAG)이 북한 배후 해킹 조직의 미끼로 지목한 가짜 사이버보안 회사 ‘시큐리엘리트(SecuriElite)’ 웹사이트. 구글 제공
구글, 마이크로소프트(MS) 등 미국 빅테크 기업들이 북한의 해킹 수법에 대해 경고하고 나섰다. 북한의 해킹이 글로벌 정보기술(IT) 보안 전문가들의 시스템에 접근해 악성코드를 심는 수법으로 진화하면서 위험이 커질 수 있다는 것이다. 구글 등은 보안 전문가들이 관리하는 기관, 기업 시스템 전체를 감염시킬 수 있는 ‘공급망 공격’이 발생할 경우 피해가 커질 것이라고 분석했다.

구글 위협분석그룹(TAG)은 지난달 31일(현지 시간) 공식 블로그를 통해 북한 정부 지원단체로 추정되는 해킹그룹이 ‘시큐리엘리트(SecuriElite)’라는 가짜 보안업체 웹사이트를 개설해 보안 연구자들을 유인했다고 밝혔다. 소프트웨어 취약점을 연구하는 터키 회사로 위장한 뒤 웹사이트에 암호화 공개 키를 걸어두고 이를 클릭하면 악성코드에 감염되는 방식이다.

북한 해커들은 소셜네트워크서비스(SNS)인 링크트인이나 트위터에 가짜 보안회사 최고경영자(CEO)나 임원을 사칭하는 계정도 만들었다. 독일 회사 ‘트렌드 마크로(Trend Macro)’ 인사담당자라고 소개한 ‘카터 에드워즈’의 프로필은 언뜻 보면 34년 전통의 글로벌 보안업체 ‘트렌드 마이크로(Trend Micro)’로 착각하기 쉽다.

구글은 1월에도 북한 해커들이 가짜 블로그에 윈도 취약점 연구사례를 미끼로 올린 뒤 보안 전문가들에게 공동 연구를 핑계로 악성 소프트웨어를 담은 프로그램을 전달한 사례를 공유했다. 구글은 텔레그램, 키베이스, 디스코드 등 북한 해킹그룹 추정 계정 32개와 해킹 도구로 쓰인 웹사이트, 도메인 등을 연이어 공개했다.

주요기사
마이크로소프트가 지난해 펴낸 ‘디지털 보안 보고서’에서도 북한은 러시아 이란 중국에 이어 네 번째로 사이버 공격을 많이 한 국가로 지목됐다. 김수키, 라자루스 등 해커그룹이 국내외 정부 기관과 언론사, 방위산업체 등을 집중 공격하는 것으로 나타났다.

김수키도 이메일 계정 이름을 교묘하게 속이는 수법을 썼다. 마이크로소프트(microsoft) 계정에서 알파벳 ‘m’ 대신 ‘r’과 ‘n’을 이어붙인 ‘rn’을 써서 언뜻 보면 공식 이메일처럼 보이도록 했다.

북한의 최근 사이버 공격은 취약점을 선제 탐지하는 ‘화이트 해커’ 커뮤니티를 역이용하고, 다중 피해를 일으킬 수 있는 보안 길목(서드파티)을 노렸다는 점에서 예전보다 지능화됐다는 평가를 받는다.

보안 관리자들을 ‘트로이목마’로 삼기 위해 수개월 동안 은밀한 위장술도 감행한다. 보안 관리자를 공격해 고객사들에 접근하는 ‘공급망 공격’이 발생할 경우 심각한 피해로 이어질 수 있다. 지난해 러시아 해커조직은 미국 IT 기업 ‘솔라윈즈’에 공급망 공격을 감행해 미국 정부기관 10곳을 포함해 1만8000곳에 악성코드를 유포시키기도 했다.

북한의 사이버 공격이 고도화되고 있지만 국내 대응 체계는 사후약방문에 머물고 있다는 지적도 나온다. 지난해 북한과 연계된 해킹조직이 신종 코로나바이러스 감염증(코로나19) 백신 및 치료제를 개발 중인 국내외 제약사들을 해킹한 사실을 처음 탐지, 공개한 것도 국내 기관이나 기업이 아닌 MS였다. 컨트롤타워인 국가정보원은 MS 발표 후 2주 뒤에야 국회 정보위원회에 관련 사안을 현안 보고 했다. 북한의 한국에 대한 사이버 공격은 매일 약 158만 건 발생하는 것으로 알려졌다. 사회 교란이나 정보 탈취가 아닌 외화벌이 수단으로 최근 가상화폐 거래소 해킹을 병행하는 등 해킹 목적과 대상도 다양해지고 있다.

전문가들은 진화하는 북한의 해킹에 대응하기 위해 취약점을 선제 탐지하고 기관 간 유기적 협력체계를 갖춰야 한다고 강조한다. 이희조 고려대 컴퓨터학과 교수는 “현재 기업들은 해킹이 포착되고 나서야 조치를 취하는 수준인데 소프트웨어 취약점과 패치, 정보 공유 등을 체계적으로 관리하는 방식으로 재편돼야 한다”며 “정부도 피해 사례를 적극 공유하고 이를 개선하는 기업에 인센티브를 주는 등 제도 정비도 필요하다”고 말했다.

신동진 기자 shine@donga.com
#북해킹#구글#ms#가짜 사이트
0 개의 기사의견이 있습니다.댓글쓰기 Copyright ⓒ 동아일보 & donga.com
당신이 좋아할 만한 콘텐츠
기사 의견 0개의 기사의견이 있습니다.
동영상