연이은 북한발 해킹에…국정원, 국가 전력·수도 시스템 긴급점검

[사진=게티이미지뱅크 제공]

공공·민간을 가리지 않고 국내서 연일 북한 배후 해커 소행으로 의심되는 사이버공격이 이어지는 가운데, 국가 전력·가스·상수도 정보통신기반시설의 위협에 대비하기 위해 국가정보원이 특별 점검을 진행하고 있다.

앞서 원자력기술을 연구하는 과학기술정보통신부 산하 국책연구기관과 잠수함건조사업을 수행하는 방산업체 등을 노린 해킹 시도가 발생해 정부·국정원이 조사에 나선 가운데, 보안 전문가들에 의해 북한의 해커가 공격 주체로 추정되고 있다.

국정원은 조사 중인 사이버침해사고 관련 피해 규모와 배후를 밝히지 않고 있지만, 최근 흐름이 공공의 국책연구기관과 방위산업분야 기업뿐 아니라 국민 생활·안전을 무너뜨릴 수 있는 기반시설 해킹으로 이어질 가능성에 주목한 모습이다.

국정원 측은 "다음 달 초 한국전력공사·한국전력거래소 정보통신시스템에 대한 특별점검을 실시할 계획"이라고 28일 밝혔다. 점검 대상은 한전이 관리하는 배전·변전·송전시스템과 전력거래소의 전력거래·운영시스템 등 7개 기반시설이다.

국정원은 해킹 예방·복구 대책을 중점 점검한다. 내부 전산망이 외부와 완전 분리돼 있는지, 신원불명 외부인이 시스템 접속을 시도할 경우 이를 차단할 수 있는지, 백업이 잘 되고 있고 보안패치가 최신 버전으로 업데이트돼 있는지를 본다.

앞서 이달 국정원은 산업통상자원부와 함께 한국가스공사의 주요 가스생산제어시스템도 점검했다. 비인가 접속차단, 내부·인터넷망 분리 관리실태, 최신 보안프로그램 업데이트, 랜섬웨어 피해와 같은 비상상황 발생시 복구대책을 확인했다.

행정안전부·환경부와 합동으로 전국 10여개 정수장 제어시스템도 긴급점검한 바 있다. 국정원은 정수장 제어시스템의 네트워크 구성, 망 분리, 원격접속 차단, 보안업데이트 여부 등을 파악해, 해킹시 시민들의 피해 가능성을 줄이고자 했다.

국정원 측은 "최근 전력·가스·상수도 등 국민 생활과 안전에 직접적인 영향을 주고 사고 발생시 큰 피해를 줄 수 있는 에너지 기반시설을 대상으로 한 해킹공격 시도가 점차 늘고 있는 것으로 분석하고 있다"라고 설명했다.
 

[사진=게티이미지뱅크 제공]

최근 해외에서 에너지·수도 인프라를 노린 사이버공격으로 현지 국민 안전이나 일상생활이 위협받은 사례가 나타나고 있다. 국정원이 전국 전력·가스·상수도 분야 정보통신 기반시설을 대상으로 해킹 대비 특별 점검에 나선 배경이다.

지난 2019년 7월 남아프리카공화국 요하네스버그에서 전력공급회사 '시티파워'가 해킹돼, 당시 도시 대부분 지역에 정전 사태가 발생하고 전기료 납부 행정이 마비됐다.

미국에선 올해 5월 미국 대형 송유관 운영사 '콜로니얼파이프라인'이 사이버공격을 당해 엿새 간 송유관 가동이 중단됐다. 지난 2월 미국 플로리다주의 수처리시설이 해킹돼 물의 산도조절용 화학물질 농도가 급등하기도 했다.

국정원 관계자는 "국가정보원법에 따라 국제·국가배후 해킹조직 등 사이버안보 관련 정보 수집·분석·대응 업무를 수행하고 있다"라며 "점검결과를 분석해 사회기반시설, 국가·공공기관 피해예방에 활용하겠다"고 말했다.

국내에서도 민간·공공 부문에서 북한 배후 해커로 알려진 '탈륨(Thallium)'의 소행으로 추정되는 해킹공격 움직임이 부각되고 있다. 최근 정부부처인 통일부와 통일연구원의 공식 이메일 계정으로 꾸민 악성메일 공격이 그중 하나다.

이스트시큐리티 시큐리티대응센터(ESRC)는 지난 25일 북한 연계 해킹 조직 탈륨의 소행으로 추정되는 지능형지속위협(APT) 공격이 국내에서 연이어 발견되고 있어 보안에 유의해야 한다고 당부했다.

통일부 사칭 공격은 지난 22일, 통일연구원 사칭 공격은 지난 24일 각각 포착됐다. 두 공격은 '북한의 당 중앙위원회 제8기 제3차 전원회의 분석'이라는 문구를 사용해 메일 수신자의 악성 URL 링크 실행을 유도한다.

공격자는 이메일 본문 디자인을 도용해 통일부나 통일연구원이 공식 발행한 것처럼 구성했고, 한글(.hwp)이나 PDF 문서가 첨부된 것처럼 표시해 링크 클릭을 유도했다. 이를 클릭하면 가짜 로그인 화면을 띄워 패스워드 입력을 유도한다.
 

통일부 사칭 이메일(왼쪽)과 통일연구원 사칭 이메일. [사진=이스트시큐리티 제공]

수신자가 패스워드를 입력하면 공격자에게 전달돼, 계정을 탈취당할 수 있다. 이메일 계정이 탈취되면 이메일을 통해 주고받은 개인정보와 기밀자료가 유출되고, 공격자가 수신자를 사칭해 주변 지인·동료에게 추가 공격을 시도할 수 있다.

ESRC 측은 "패스워드 입력과 동시에 정상 문서를 보여줘 정보 유출을 감추고 있다"라며 "최근 위협에 악용된 정상문서 열람 경험이 있었는지 확인해, 유사사례에 노출됐다면 즉시 패스워드를 변경하고 2차인증 등을 설정해야 한다"고 권고했다.

ESRC에서 이메일 발송처를 추적한 결과 두 공격 사례 모두 오랫동안 공격 거점으로 악용된 특정 서버가 이번에도 활용된 정황이 포착됐다. 해당 서버는 앞서 국가안보전략연구원·한국인터넷진흥원 사칭 공격의 거점으로도 악용된 바 있다.

문종현 ESRC센터장은 "탈륨은 최근 원자력 국책연구기관을 포함해 국방분야 무기체계를 연구하는 방위산업체까지 전방위 사이버위협 공세를 이어가고 있다"라며 "민·관 협력과 대비로 더 면밀하게 사이버 안보를 강화해야 한다"고 말했다.

국책연구기관 한국원자력연구원과 방산기업 대우조선해양이 앞서 탈륨의 해킹 공격을 당한 사례로 지목되고 있어, 국정원을 비롯한 정부당국이 조사를 벌이고 있다.

원자력연구원의 경우 지난 14일 내부 전산망 해킹 정황이 포착돼, 피해 규모와 배후 세력 조사가 진행되고 있다. 국회 정보위원회 소속 하태경 의원이 원자력연구원 제출 자료와 사이버테러 연구조직의 분석을 근거로 북한 소행임을 주장했다.

대우조선해양의 경우 지난해 말부터 올해 상반기 사이에 외부 해킹 시도에 노출된 정황이 포착돼, 방위사업청이 관계기관과 조사하고 있다. 서용원 방위산업청 대변인이 지난 21일 브리핑을 통해 피해 규모와 배후를 파악 중이라고 언급했다.

탈륨은 미국 IT기업 마이크로소프트가 지난 2019년 법원에 고소한 북한 배후 해커 조직의 이름이다. 지난 2014년 한국수력원자력 해킹공격을 분석한 카스퍼스키랩이 이들을 지목하면서 쓴 '김수키(Kimsuky)'란 이름이 더 유명하다.

국내에선 한수원 해킹 이후에도 대북 활동가나 연구원을 노리고 꾸준히 공격을 벌이고 있다. 작년 하반기 국내 포털사 고객센터 위장 피싱 공격, 북한 소식통을 사칭해 악성문서 열람을 유도하는 스피어피싱을 수행했다.

올해 초 미국 바이든 정부 출범에 맞춰 설문조사 위장 악성문서를 유포했다. 지난달 문재인 대통령과 조 바이든 미국 대통령의 한·미 정상회담 기간엔 외교안보통일 분야 전문가 해킹도 시도했다.