• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

방위산업체도 당했나? 北 사이버공격 대상 전방위 확대 2016.05.10

공격 타깃, 공공에서 금융·국가기반시설, 방산업체로 확장 이동

[보안뉴스= 박원형 극동대학교 교수] 지난 4월 독도함을 건조한 한진중공업이 북한 정찰총국 산하 해커조직으로부터 해킹을 당한 정황이 뒤늦게 드러나 북한의 사이버테러 위협이 다시금 고조되고 있다. 10일 국군기무사령부 측은 지난달 중순 한진중공업의 사내 PC가 해킹 공격을 받은 사실이 확인돼 조사중에 있다고 밝혔다.


이러한 북한의 사이버테러는 어제오늘만의 이야기는 아니다. 우리나라의 공식적인 국가간 사이버테러는 2009년 7월 7일에 발생한 7.7 DDoS(디도스) 공격이다. 우리나라 정부에서 공식적으로 북한의 소행이라고 언론에 노출된 첫 사례라고 생각된다. 그러나 7.7 디도스 공격 이전에도 북한의 사이버공격은 계속돼 온 게 사실이다.

비록 소규모의 사이버공격이긴 하지만, 북한의 사이버공격은 지속적으로 이루어져 왔으며 현재까지 지속되고 있다. 사이버공격의 가장 큰 특징은 공격주체를 파악하기 어렵다는 점이다. 이런 점을 잘 알고 있는 북한은 비대칭 전력으로 사이버전사를 양성하고 있으며, 2009년 7.7 DDoS 공격 이후로도 크고 작은 북한의 해킹사건들이 계속 발생하고 있다. 이와 같은 사이버공격 피해에 대비하기 위해서는 2009년 이후 북한의 변화된 사이버 위협 동향에 대해 살펴볼 필요가 있다.

정부부처·공공기관에서 금융기관·국가기반시설·방위산업체 등으로 공격목표 이동
지난 2009년 이후 정부부처·공공기관을 대상으로 공격이 지속 발생하고 있다. 2011년 농협전산망 마비사건 이후 북한의 사이버 공격은 금융기관을 목표로 지속적으로 발생해 왔다. 이는 2009년 7.7 DDoS 사태 이후 강화된 국가사이버안전관리규정의 국가전산망 보안관제의무화가 국가공공기관의 사이버 위협 징후를 감소시켜 왔다.

하지만 정부부처·공공기관을 대상으로 한 북한의 사이버공격이 주춤한 사이 금융기관을 대상으로 한 공격이 증가해 왔다. 2013년 3.20 사이버테러를 정점으로 최근 금융기관 코드서명 해킹사건까지 지속적으로 사이버 공격을 시도하거나 성공하고 있다. 이는 강화된 공공 분야 보안 시스템을 우회해 취약한 사이트를 대상으로 사이버공격에 성공한 이후, 다시 정부부처·공공기관에 대한 우회 공격을 노리는 것이다. 즉, 최근 보안회사 코드서명 해킹을 통해 전 국민을 대상으로 악성코드를 유포시켜 정보를 수집하고, 정부부처·공공기관 임직원을 대상으로 원격제어 프로그램을 설치해 정부부처 내부에 침투하려는 의도로 추정된다.

이러한 사이버 공격은 보안이 강화된 사이트를 직접 공격하는 것보다 취약한 사이트에 대한 우회공격을 통해 내부 중요정보 탈취 및 시스템 파괴에 나서는 북한의 전형적인 사이버공격의 특징이라고 할 수 있다. 또한, 한국수력원자력 내부자료 해킹사건을 통해 사이버심리전이라는 새로운 형태의 사이버공격 기술을 선보이기도 했다. 한국수력원자력 사건 이후 국가기반보호시설에 대한 사이버 위협 시도가 지속적으로 증가하고 있는 실정이다.

북한 사이버공격의 주요 유형과 공통점
현재까지 보안뉴스 등 언론을 통해 북한의 해킹공격으로 의심되는 사건들을 분석해 보면 정보수집-서비스거부공격-시스템파괴(MBR파괴) 순으로 진행된 공통점이 있다. 이러한 공통점은 북한의 사이버공격이 정보수집을 통한 내부정보 탈취에 그 목적이 있으며, 서비스거부공격을 통해 사회경제적 혼란을 유발하고, 시스템 파괴를 통해 사고조사 및 역추적을 방해하는 기술을 구사하고 있다는 점을 알 수 있다.

또한, 파일럿 테스트(Pilot Test: 예비 실험)를 통한 사이버공격 사례들도 보인다. 최근 3월 우리나라 외교라인 40명 스마트폰 문자·음성 해킹 사건을 보면, 이미 북한은 2014년 스마트폰 2만여대를 감염시켜 향후 스마트폰을 이용한 사이버공격을 준비했던 양상이 나타난다.

북한 사이버공격의 향후 전망...엔드포인트 보안이슈 확대 예상
앞서 북한의 사이버공격 동향의 변화와 공통점을 분석해 보면, 기존에 알려져 있지 않은 새로운 공격기술과 취약한 사이트를 이용한 우회공격 기술이 특징이라 할 수 있다. 또한, 정부부처 및 공공기관을 직접 공격하는 것이 아닌 유지보수업체나 정보보안업체 등 일반인이나 민간회사를 대상으로 공격하는 사례가 늘어나고 있다.

과거에는 특정기관을 대상으로 한 APT 공격이 유행했다면, 향후에는 특정기관을 공격하기 위해 이와 관련된 유지보수업체, 정보보안업체(코드서명, 보안솔루션 제작 등)와 같은 사이트를 공격하는 우회 공격이 더욱 활발해질 것으로 예측된다. 이와 함께 방위산업체를 비롯해 사회적 파급력이 높은 금융기관이나 국가기반보호시설에 대한 사이버공격이 많이 발생할 것으로 전망된다.

이로 인해 향후에는 스마트폰이나 업무용 PC 등 엔드포인트 보안이슈가 많이 발생할 것으로 예상된다. 이를 예방하기 위해서는 시스템 보안 못지 않게 정보보안 교육 등 보안의식 제고를 위한 관리적 보안과 보안 업데이트, 취약점 점검 등의 보안점검이 더욱 중요해질 것으로 보인다.
[글_ 박원형 극동대학교 사이버안보학과 교수(whpark@kdu.ac.kr)]

필자 소개_ 박원형 극동대학교 교수는 2009년 한국융합보안학회 상임이사를 거쳐 지난 2012년까지 서울과학기술대학교 글로벌융합산업공학과 겸임교수를 역임했으며, 2012년부터 극동대학교 사이버보안학과 조교수를 거쳐 현재 사이버보안학과 학과장을 맡고 있다.

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

- 국내 최대 규모의 개인정보보호 컨퍼런스 PIS FAIR 2016 - 6월 9일(목)~10일(금) 개최
- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)