‘킴수키’ ‘금성121’…靑 연루 해킹, 北 사이버부대 관련된 듯

뉴스1
입력 2018년 11월 29일 14시 17분

코멘트: 개

좋아요: 개

코멘트: 개

‘킴수키’, 과거 한수원·외교안보 부처 공격 이력…악성 HWP 파일 활용
중국 등 해외 본거지로 활동해 밀착 추적 어려워

청와대가 연루된 연이은 해킹 사건에 북한의 사이버 부대가 연루됐을 가능성이 29일 제기된다.

청와대 국가안보실을 사칭한 가짜 메일이 외교전문가들에게 발송되고 언론에 보도되면서 논란을 빚은 가운데 이에 앞서 문재인 대통령의 복심으로 통하는 윤건영 청와대 국정기획상황실장을 사칭한 이메일이 정부 관계자에게 발송됐던 것으로 29일 확인됐다.

활동폭이 활발한 북한의 사이버 부대는 ‘킴수키(Kimsuky)’ ‘라자루스(Lazarus)’ ‘금성121(Geumseong121)’ 등이 있다.

이중 킴수키는 2016년 외교부·통일부·국방부와 북한 관련 연구소 종사자들 90여 명의 이메일을 집중 공격한 이력이 있다.

2014년 한국수력원자력 원전 도면의 해킹 사건도 킴수키 조직의 소행으로 파악된 바 있다. 남측 주요 정부 부처나 공공기관에 대한 공격을 담당하고 있는 것으로 해석할 수 있는 부분이다.

국내 보안 업계에 따르면 킴수키 조직의 공격 방식은 국내 업무 환경에 맞춰 악성 한글 파일(HWP)을 활용하거나 스마트폰 메신저를 통해 스피어 피싱(Spear Phishing) 방식의 사이버 공격을 감행하는 것이다.

킴수키의 이 같은 사이버 공격 방식은 최근 청와대 주요 인사를 사칭한 메일이 유관부처 당국자들에게 발송되거나, 청와대 국가안보실을 사칭한 문건이 해킹으로 의심되는 방식으로 유포된 것과 유사한 형태로 주목된다.

특히 킴수키 조직이 과거 외교안보 주요 부처를 공격 대상으로 삼았다는 점에서 이번 사건과의 연루 가능성도 제기되고 있다.

이 같은 공격 방식은 북한의 또 다른 사이버 해킹 부대로 의심되는 ‘금성121’도 주로 활용하는 방식이다.

사이버 보안 정보를 제공하는 ‘이스트시큐리티 시큐리티대응센터’에 따르면 금성121 조직은 지난 8월께부터 ‘작전명 코리안 스워드(Operation Korean Sword)’로 명명된 활동을 본격화했다.

이들은 지난 7~8월 ‘남북 이산가족 찾기 전수조사’라는 내용의 문서 파일을 이용해 APT(Advanced Persistent Threat·지능적 지속 위협) 공격을 수행한 것으로 파악됐다.

이들이 사이버 공격에 사용하는 언어에서 ‘불법’을 ‘비법’으로 표기하는 등 북한식 표현이 포착된 것도 이들의 배후에 북한의 사이버 부대가 있음을 추정케 하는 대목이다.

금성121의 경우 특히 공격에 활용한 로그파일(소프트웨어 사용 기록 등이 담긴 파일)에 평양시 류경동 보통강 구역으로 파악되는 인터넷 주소(IP)를 남긴 것이 한 차례 포착되기도 했다.

또 국내 대형 포털사이트의 메일 계정을 사칭해 스마트폰에 악성 애플리케이션을 깔도록 유도하거나 PC용 보안 프로그램을 위장하는 방식도 활용한다.

다만 대남 사이버 부대의 작전명의 경우 각 보안 업체별로 다르게 명명한다. 각각의 사이버 공격에 활용된 악성 파일에는 동일한 코드가 활용되는 특징이 있어 이를 활용하는 방식이다.

‘코리안 스워드’에 활용된 문서 파일들에는 마지막 저장자의 데이터가 ‘gichang’, ‘User1’ 등으로 동일하게 나타나고 있다. 각 보안업체들은 이 같은 특징을 바탕으로 사이버 공격자의 작전명을 명명하게 된다.

이스트시큐리티 측은 “‘gichang’ 키워드와 발음을 활용해 고려시대 호위부대가 무예로 사용한 기창(깃발 달린 창)을 활용해 ‘작전명 코리안 스워드’로 명명했다”라고 밝혔다.

이스트시큐리티는 지난 8월 파악된 금성121의 다른 사이버 공격 당시 ‘로켓(Rocket)’이라는 프로젝트 폴더에서 악성파일 변종 시리즈가 지속 제작된 것을 감안해 해당 공격의 이름을 ‘작전명 로켓맨(Operation Rocket Man)’으로 명명하기도 했다.

‘코리안 스워드’ 작전은 지난 8월에 이어 최근 다시 본격적으로 재개된 것으로 파악되고 있다. 킴수키와 달리 대북 관련 민간단체 등이 주요 타깃인 것으로 알려졌다.

정부는 11월 16일, 22일 등 이달 들어 북한 추정 조직의 사이버 공격이 본격 재개된 것을 감지한 것으로 알려졌다.

북한의 사이버 부대 창설 및 사이버 공격의 목적은 대외 정보활동에서 최근 외화 벌이로 다각화되고 있는 것으로 분석되고 있다. 주요국의 금융망을 공격하거나 가상화폐(암호화폐)에 대한 해킹 시도가 파악되고 있는 것이다.

미 재무부 해외자산통제국(OFAC)는 지난 9월 북한제재강화법 및 대통령 행정명령(13722호)을 근거로 북한 국적의 해커 박진혁(34)과 그가 소속된 회사 ‘조선 엑스포 합영회사’를 독자 제재 명단에 올리기도 했다.

미 행정부는 박진혁과 ‘조선 엑스포 합영회사’가 2014년 김정은 국무위원장의 암살을 소재로 한 영화 ‘인터뷰’를 제작한 미국 소니픽처스사를 해킹한 주범인 ‘라자루스’ 조직 소속인 것으로 파악하고 있다.

(서울=뉴스1)