북한 추정 킴수키 조직으로 분석...사이버상은 긴장감 여전

[보안뉴스 김경애] 지난 주말부터 판문점에서 개최된 남북한 고위급 당국자 접촉 당시 북한으로 추정되는 해커조직의 공격 징후가 포착된 것으로 드러났다. 이산가족상봉 논의 등 남북간 화해무드가 조성되는 상황과 달리 물밑에서는 국내를 타깃으로 한 악성코드 제작과 유포 정황이 포착되면서 사이버상에서는 여전히 냉랭한 기류가 흐르고 있다.

남북한 고위급 당국자 접촉은 1차로 지난 23일 새벽 4시 15분경 시작했으며, 2차로 지난 23일 오후 3시 30분경 접촉을 재개해 25일 새벽 0시 55분에 2차 접촉이 종료되면서 남북간 합의사항이 도출됐다.

그런데 2차 접촉회의 중이던 지난 23일 오후 4시 15분경 북한의 킴수키(Kimsuky)로 추정되는 해커조직이 악성코드를 제작해 유포한 정황이 포착된 것.

이를 분석한 사이버전 전문추적그룹 이슈메이커스랩(Issue Makers Lab) 리더인 사이먼 최는 “이들은 이메일 C&C를 활용해 기밀자료 절취 및 명령 제어를 수행한 것으로 분석됐다”며 “C&C 이메일 계정으로는 통일(tongil)을 사용한 것으로 확인됐다”고 밝혔다.

특히, 이들의 움직임은 남북한 긴장감이 최고조인 상황에서도 탐지됐으며, 고위급 접촉이 종료된 이후인 지난 26일에도 중국 선양에서 포착된 것으로 알려졌다.

남북간 고위급 회담이 타결돼 화해무드가 조성됐음에도 불구하고, 사이버상에서는 아직까지 긴장감이 해소되지 않는 상황인 셈이다.  

국방부도 이러한 북한의 사이버공격 징후에 대해 예의주시하면서 긴장을 늦추지 않고 있는 분위기다. 또한, 대북 확성기 방송의 재개 명분이 될 수 있는 비정상적 사태와 관련해 사이버공격도 염두에 두고 있는 것으로 알려졌다.

이와 관련 국방부 한민구 장관은 국회 국방위원회 전체회의에서 26일 남북 고위급 접촉 공동합의문에 명시된 ‘비정상적 사태’에 대해 포괄적인 측면에서 사이버공격도 고려하고 있다고 밝혔다.

국가사이버안전센터 역시 북한의 서부전선 포격으로 인해 지난 20일 발령한 사이버위기경보를 현재까지 관심단계로 유지하고 있다.

이는 평소에도 북한의 사이버공격이 은밀하고 지속적으로 감행되고 있기 때문으로 풀이된다. 이미 지난 7월부터 북한으로 추정되는 해커조직은 해킹팀 이슈로 노출된 최신 플래시 취약점을 사용한 것으로 확인됐다.

이와 관련 사이먼 최는 “최근까지 관찰한 결과, 최신 플래시 취약점이 전 세계 해커들에 의해 악성코드 유포에 활용되기 시작된 이후 북한 해커조직도 곧바로 해당 취약점을 사용하고 있는 정황이 꾸준히 나타나고 있다”고 밝혔다.

그들이 사용한 취약점은 지난 7월 CVE-2015-5122, 6월 CVE-2015-3105, 3월 CVE-2015-0313, 2월 CVE-2014-8439, 2014년 5월 CVE-2014-0515로 분석됐다.

사이먼 최는 “사이버전은 물리적 환경과 다르게 위변조와 조작이 가능하기 때문에 아주 확실하게 역공격이나 역추적으로 북한 내부라는 증거를 찾지 않는 한 공격주체를 특정짓기가 어렵다”며 “앞으로도 이를 노리고 사이버상에서의 도발을 계속 감행할 것”이라고 우려하며 주의를 당부했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>