은밀한 공격, '북한 사이버전 계속된다'

사이버상의 지하땅굴, 잠수함, 무인정찰기는 '현재 진행형'

아주경제 장윤정 기자 = 정보보호의 달인 7월,  '북한 사이버전(戰)'이 끊임없이 지속되고 있다. 

지난 6월부터 정부 및 보안 관련 기업들이 모니터링을 강화하고 있는 가운데, 북한으로 추정되는 사이버공격들이 지속적으로 나타나고 있다. 

지난해 3.20, 6.25사이버테러를 발생시켜 국내를 혼란으로 만들었던 북한이 올해도 대남 사이버침투 작전을 꾸준히 펼치고 있어 정부 당국 및 국내 사용자들의 주의가 시급하다. 

국내 보안업체 잉카인터넷(대표 주영흠)은 지난 5월 23일, 6월 5일, 7월 첫째 주 등 한글파일로 위장한 북한 제작 악성파일이 지속적으로 발견됐다고 14일 밝혔다.

지난 8일 국내 보안업체 하우리(대표 김희천)도 지난 7일 월요일 오후 1시경부터 다수의 국내 웹사이트를 통해  3.20 악성코드의 최신 변종 뱅킹 악성코드 시리즈가 유포됐다고 밝힌 바 있다.

문종현 잉카인터넷 팀장은 "3.20, 6.25 사이버테러와 같이 파괴공격이 감행되어야만 외부에 북한의 사이버침투공작이 드러나지만 평소에도 북한의 사이버공격은 은밀히 진행중"이라며 "북한은 땅굴을 파듯이 사이버상에서 꾸준히 사전작업을 계속하기 때문에 늘 주의하는 태세를 갖춰야한다"고 말했다.
 

북한 사이버전 공격도 [자료 = 잉카인터넷 ]

잉카인터넷이 발견한 북한 제작 추정 악성파일은 다수의 종교 관련 커뮤니티, 전기·전자관련 사이트 등 특정인들이 관심을 가지고 모일만한 커뮤니티를 중심으로 웹 사이트의 취약성을 이용해 올려진다. 

이후 감염된 사용자를 통해 모니터링, 뱅킹 개인정보 탈취 및 지능형지속위험(APT) 등 또 다른 공격의 통로로 활용된다. 

해당 악성코드가 북한에서 만들어진 것으로 추정되는 이유는 악성코드 파일이 한글 등으로 제작됐고 북한 IP 및 북에서 공통적으로 쓰고 있는 통신 프로토콜 등 고유한 특징이 발견되기 때문이다.

이 회사의 발표에 따르면 지난 2012년에는 '라철혁'이라는 파일명으로 악성코드가 제작돼 숨겨져 있는 것을 발견하기도 했다. 이외에도 '유포'가 아닌 '류포' 등 북한 특유의 두음법칙이 적용된 한글이 발견되는 등 중국해커들이 제작한 것과 다른 특징들로 인해 북한 사이버공격임을 알아차릴 수 있다. 

또 국내에서 주로 사용되는 MS, 자바, 플래시 등의 취약성을 활용하거나 DRM 취약성 등을 이용, 국내 사용자들을 타깃하고 있음을 알 수 있다. 

잉카인터넷은" 북한의 사이버침투 활동은 조기탐지를 회피하기 위해서 매우 은밀하고 조용하게 이뤄진다"며 "그렇기 때문에 외부에 알려지는 파괴적인 공격과 상시적으로 진행되는 내부 정찰활동은 구분되어 있다. 평상시 사이버전사들은 주요 목표대상에게 꾸준히 악성파일이 포함된 이메일로 공격을 시도한다"고 밝혔다. 

잉카인터넷 시큐리티대응센터(ISARC)에서는 해당 북한 사이버전을 '오퍼레이션 블랙잭(Operation Black Jack)' 이라고 명명, 추적 및 감시활동을 계속 진행 중이다.

문 팀장은 "북한의 사이버전사들은 제 3국 등을 통해서 다양한 공격을 수행하고 있고, 평상시에는 외화벌이 목적 등으로 불법적인 사이버범죄에도 적극 가담하고 있다"며 "북한의 사이버전은 매우 조용하고 은밀하게 계획되고 있다는 점을 명심해야 하고, 언제든지 발생할 수 있는 사이버테러에 적극 대비를 해야 할 것"이라고 강조했다.