• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

北 해킹 공격, 가상화폐부터 SNS 등 전방위로 확대 2017.11.27

북한 추정 사이버위협, 가상화폐부터 SNS 등 전방위로 확대
국내 네트워크 환경의 복잡성과 취약성, 보안 이슈의 주요 원인

[보안뉴스 김경애 기자] 최근 북한 추정 사이버공격이 전방위로 확대되고 있다. 이전의 국방, 안보 분야 위주로 공격하는 데 그치지 않고 갈수록 대담해지고 있다. 국방, 안보, 통일, 외교, 정치, 대북 및 탈북 단체를 비롯해 최근에는 가상화폐 거래소, 토렌트, 삼성 스마트폰, SNS 등으로 퍼져나가고 있다.

[이미지=iclickart]


이와 관련 한국인터넷진흥원 이동근 단장은 “최근 5년간 북한 공격을 살펴보면 정부기관만을 공격하기보다 민간분야에 대한 공격을 통해 파급력을 높이려 하고 있다”며 “최근에는 금전 취득 목적의 공격성향이 나타나고 있다”고 진단했다.

랜섬웨어와 가상화폐 거래소
특히, 북한 사이버공격의 주요 타깃으로 지목되고 있는 가상화폐 거래소를 보면 짐작할 수 있다. 최근 전 세계 가상화폐 시장 규모는 330조원을 육박했다. 한 때 1비트코인은 1,000만원을 돌파하는 등 최고치를 기록하기도 했다. 이는 불과 몇 달 만에 3배가 늘어난 수치다. 이러한 수치는 북한의 사이버공격과도 연관성이 있다. 이미 대규모로 랜섬웨어를 뿌리며 비트코인으로 협박하는 사건의 경우 상당수가 북한 해커조직과 연관돼 있는 것으로 알려졌다.

이와 관련 블룸버그 샘킴 기자는 “방글라데시 중앙은행에서 일어난 8천백만 달러의 불법 인출 사건은 물론 전 세계적으로 랜섬웨어 감염 사태를 일으킨 사건, 대한민국의 비트코인 거래소 해킹, 타이완 은행 강탈 등 그 규모와 종류는 계속 증가하고 있으며, 지난 1년 동안 북한 정권과 연계된 사이버 범죄 보고와 기사들은 폭발적으로 늘어났다”고 말했다. 이어 “대한민국의 비트코인 거래소 최소 3곳이 해킹된 사건이 알려졌으며, 영문 비트코인 뉴스 웹사이트가 해킹당하기도 했다. 또한, 파이어아이에서는 북한 해커들이 암호화된 화폐를 수집한다는 분석을 내놓았다”고 분석했다.

북한 추정 해커들은 한 경제연구원에서 발표한 비트코인 산업현황에 관한 문서로 위장해 관련 분야 종사자들을 타깃으로 악성코드가 숨겨진 이메일로 공격하는 이른바 스피어피싱(Spear-phishing) 방식을 사용했다.

이스트시큐리티 문종현 이사도 최근 외화벌이 목적으로 글로벌 인터넷 은행 해킹, 가상화폐 거래소 해킹, 랜섬웨어 유포 시도 등으로 공격 유형이 변화했다는 분석을 내놓았다. 여기에는 모두 랜섬웨어와 가상화폐 거래소의 연관성이 주목받고 있다.

카카오톡 등 SNS도 노린다
게다가 최근에는 본지가 앞서 보도한 바와 같이 페이스북과 카카오톡 등 SNS를 타깃으로 한 사이버공격도 기승을 부리고 있다. 이와 관련해서는 하우리 최상명 CERT 실장은 카카오톡의 대화내용과 정보 등을 북한 추정 해커들이 탈취하고 있다고 밝히기도 했다.

지난 26일에는 ‘pcloud’ 조직이 스마트폰용 악성코드까지 제작해 카카오톡 대화내용과 통화녹음 파일을 훔쳐간다는 분석도 나왔다.

이와 함께 북한 추정 해커들의 주요 타깃에서 국방, 안보, 통일, 외교, 정치, 대북 및 탈북 단체와 관련 전문가들은 빠지지 않고 있다. 이와 관련 이스트시큐리티 문종현 이사는 “북한의 사이버공격은 주로 국방, 안보, 통일, 외교, 정치, 대북 및 탈북 단체 등에 집중돼 있다. 또한, 탈취된 자료들이 북한이탈주민의 신상 정보를 겨냥한다거나 한국에서 통일관련 활동을 왕성하게 하고 있는 북한이탈주민을 표적으로 하고 있다는 것이 특징”이라고 밝혔다.

북한에 중요정보 계속 빠져나가
그렇다면 우린 왜 이렇게 북한의 사이버공격에 속수무책으로 당했다는 소식이 끊이지 않는 걸까? 이와 관련 서울여자대학교 정보보호학과 박춘식 교수는 보안에 취약한 네트워크 환경과 대응의 허술함을 원인으로 꼽았다.

박춘식 교수는 “네트워크 환경을 둘러싼 복잡성이나 대응의 취약성 등이 문제로 제기된다”며 “2016년 8월부터 12월 기간 동안 트렌드마이크로는 인터넷을 통해 북한으로 송수신되고 있는 정보의 흐름을 조사한 결과, 북한으로부터 받는 스팸 메일의 일부는 원격 조작 바이러스에 감염된 PC로부터 발송되고 있는 것으로 드러났다”고 밝혔다.

특히, 북한에서 약 30종류 이상의 악성메일이 발송되고 있는 것으로 조사됐다. 이로 인해 1년 이상 악성코드에 감염된 채 방치되고 있었던 PC도 있었으며, 아이디와 핫메일 등의 포털 메일 서비스가 주로 이용된다는 사실도 알게 됐다는 설명이다.

이러한 보안의 취약성은 해외 사건에서도 언급됐다. 방글라데시 은행경영협회(BIBM)의 마부버 라만 알람(Mahbubur Rahman Alam) 박사는 북한의 방글라데시 은행 공격사례를 언급하면서 “방글라데시는 돈이 많은 국가도 아닌데, 도대체 왜 북한이 방글라데시를 타깃으로 공격했는지 이해할 수가 없다”고 발언했다.

이에 대해 박춘식 교수는 “북한 해커는 미국이나 유럽 은행보다는 아무래도 보안이 취약하고 보다 쉽게 침입할 수 있는 제3세계 국가의 중앙은행을 노리는 것 같다”고 분석했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>