2월 지방 철도운영기관 사칭한 피싱 사이트 제작... 피싱 메일 유포
철도운영기관 노린 신규 악성코드도 잇따라 포착

[보안뉴스 김경애] 북한이 지난 1~2월 2개 지방의 철도운영기관 직원들을 대상으로 피싱 메일을 유포해 직원들의 메일 계정과 패스워드 탈취를 시도한 것으로 드러났다.


이는 철도교통관제 시스템을 대상으로 한 사이버테러 준비단계로, 국정원은 지난 2월 해킹징후를 감지하고, 주요 기관들의 트래픽을 복사해 정보를 모아 분석한 것으로 알려졌다. 이후 국정원은 해당 기관에 관련 사실을 통보하고, 피싱 메일 계정의 차단조치와 기관 직원들의 메일 비밀번호를 변경할 것을 요청했다.

이에 대해 철도기관 관계자는 “지방의 특정 철도운영기관에서 해킹징후가 포착돼 국정원이 조사한 것으로 알고 있다”며 “해킹 징후 분석을 통해 전체 철도관련 기관에 해당 내용을 알리고 메일 주소를 변경할 것을 요구했다”고 밝혔다.

특히, 북한의 공격시도를 받은 해당 기관은 현재 예산 문제로 자체적으로 보안관제 시스템 구축·운영하지 못하는 것으로 드러났다. 이에 국정원을 통해 보안관제를 받고 있는데, 최근 공격시도가 있었던 것으로 본지 취재결과 파악됐다.

이에 대해 공격시도를 받은 한 지방 철도기관 관계자는 “지난 2월 국정원으로부터 자사를 사칭한 피싱사이트가 만들어졌다는 연락을 받았다”며 “이후 피싱 메일이 들어왔지만 계정이 탈취되지는 않았다”고 밝혔다.

그러면서 관계자는 “전직원을 대상으로 메일 계정 변경 조치를 하고 있는데, 개인별로 바꿔야 하는 상황이라서 현재까지 90% 정도 변경된 상태”라고 밝혔다.

서울도시철도공사 관계자도 “국정원으로부터 철도기반시설의 해킹징후에 관한 사항을 전달받고, 지난 2월 19일 전 직원의 메일 비밀번호를 모두 바꿨다”고 밝혔다.

부산교통공사 관계자 역시 “국정원으로부터 피싱메일에 관한 사항을 전달 받아 기관에서 사용하는 내부 메일의 경우 비밀번호를 모두 변경시켰다”며 “네이버나 다음 등 포털사에서 서비스 하는 상용 메일은 처음부터 차단됐다”고 밝혔다.

하지만 북한의 4차 핵실험 도발 이후부터 새로운 악성코드들이 계속 생성되고 있어 주요 사회기반시설 보안에 또 다시 빨간불이 들어왔다. 이에 따라 해당 기관에서도 예의주시하는 분위기다.

이와 관련 부산교통공사 관계자는 “새로운 악성코드들이 생성되고 있어 KISA 공지를 통해 주의경보에 따른 관련 정보를 전달받고 있다”며 “관련 정보를 바탕으로 집중 모니터링하고 있다”고 말했다.

광주도시철도공사 관계자도 “방화벽 로그를 통해 트래픽을 보며 예의주시하고 있다”며 “통상적인 보안 권고사항 등을 전달 받아 진행하고 있다”고 말했다.

서울시 관계자는 “북한 사이버보안 이슈로 사이버위기경보가 1월 8일 ‘관심’으로 격상된 이후 2월 11일에는 ‘주의’로 또 다시 격상됨에 따라 상황전파와 보안권고 등을 진행하고 있다”고 밝혔다.

서울메트로 관계자 역시 “북한 4차 핵실험 이후 현재까지 이상 징후나 외부침입 공격이 감지되진 않았지만 사이버위기경보가 ‘주의’인 만큼 상급기관에서 경보 조치에 따른 강화훈련과 상황전파가 많아졌다”고 말했다.

8일 국가정보원의 사이버위기경보는 여전히 ‘주의’ 단계이다. 이에 대해 한 보안전문가는 남북간 긴장감이 고조되고 있는 만큼 당분간 주의 단계를 유지할 것이라고 전망했다. 또한, 주요 사회기반시설을 타깃으로 한 북한 추정의 공격이 또 다시 포착됐기 때문에 향후에도 이러한 공격시도는 지속될 것이라며 각별한 주의를 당부했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>