북한 해커조직, ‘키리졸브·미군’ 등 키워드로 국방정보 수집 시도

[보안뉴스 특별취재팀] 북한이 우리나라의 군사정보를 빼가기 위한 목적으로 지난 2007년 2월부터 사이버전을 진행한 것으로 밝혀져 충격을 주고 있다. 

더욱  놀라운 사실은  3.20 사이버테러 역시 북한의 해커조직이 진행한 것으로 밝혀지면서 사이버전의 미션 중 하나로 이미 예정된 일임이 고스란히 드러난 것이다. 

북한은 특히 작전, 미군, 암호, NLL 등의 핵심 키워드가 들어있는 악성코드로 국방관련 기관에 대한 공격를 시도한 것으로 드러났다. 그중에는 한·미 연합 군사훈련인 ‘키리졸브’ 키워드도 포함돼 있어 충격을 더하고 있다.

이를 위해 어떤 방법을 활용했을까? 해커조직이 사전에 확보한 C&C 서버와 교신해 악성코드를 유포했다. 정보수집 방법으로 북한은 한국의 국방관련 관계자에게 악성코드를 첨부한 이메일을 전송했다. 3.20 사이버테러와 유사한 방식으로 악성코드에 감염시켜 사전에 확보한 C&C 서버로 정보를 가져간 것이다.

원활한 정보수집을 위해 해커조직은 C&C 서버의 명령·제어 암호화키 2개와 정보수집용 암호화키 2개를 사용했다. C&C 서버 명령·제어 암호화키 중 하나는 공개키(Key)이고, 하나는 해커만이 갖고 있는 비공개키이다.

정보수집용 암호화키 2개도 마찬가지 방식이다. 수집된 암호화 정보를 푸는 키중 한 개는 공개키이고, 하나는 해커만이 갖고 있는 비공개키이다. 이는 원활한 사이버전 수행과 원활한 정보수집을 수행하기 위함이다.

특히, 정보를 빼내기 위해 압축하는 과정에서 3.20 사이버 테러와 동일한 암호를 사용했다. 3.20 사이버테러와 동일하게 사용한 암호는 ‘dkwero38oerA%5Et@#’ 16자리로 영문 대·소문자를 비롯해 숫자, 특수문자 등을 사용해 치밀함을 보였다. 따라서 3.20 사이버테러는 그 자체만으로도 한국을 노린 사이버전이기도 하지만 전체적인 북한의 계획 중 하나의 미션에 불과한 것으로 드러나 향후 파장이 예상된다.

정부는 이번 3.20 사이버테러와 관련해 긴급브리핑을 오후 2시에 진행할 예정이다. 하지만 실체가 북한 소행임이 드러나면서 또다른 공격여부에 대해서도 공식 발표가 진행될지 자못 궁금해지고 있다.

[보안뉴스 특별취재팀(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>