국내 사이트에서 정보유출용 악성코드 유포...정보유출용 서버로 악용된 곳도 있어
북 추정의 로캣맨 작전 기법과 코드 스타일 유사
보안전문가, 사이버상의 종전 합의돼야 한다는 의견 제기

[보안뉴스 김경애 기자] 북한 추정 사이버공격이 남북한의 화해무드에도 불구하고 끊임없이 포착되고 있다. 이 때문에 사이버상에서의 종전협정이 필요하다는 의견도 꾸준히 제기되고 있다.


이번에 발견된 공격은 특정 사이트에서 유포된 악성코드에서 시작된 것으로 알려졌다. 공격에 사용된 일부 악성코드는 10월 1일 제작된 것으로 분석됐으며, 악성코드는 정보유출용 백도어로 알려졌다. 또한, 악성코드가 명령을 받아 다른 파일을 여러 개 다운로드 받으려고 시도하는 것으로 분석됐다.

그중 최종적으로 다운로드된 파일은 북한 이탈주민자의 운세로 보이는 특정인의 운세 내용을 담고 있다. 이 운세 파일은 정상파일로 공격자가 의심을 피하기 위해 공격에 교묘히 이용한 것으로 추정된다.

이렇게 수집된 유출 정보는 특정 서버로 이동되는데, 국내 메이크업 관련 업체 서버가 정보유출용 서버로 악용된 것으로 조사됐다.

특히, 주목되는 건 이들의 공격 기법이 이른바 북한 추정의 로켓맨 작전 기법과 똑같고, 코드 스타일 역시 유사하다는 것이다.

1일 이스트시큐리티 문종현 이사는 “국내를 타깃으로 한 사이버공격이 또 다시 포착됐다”며 “이들은 지난 8월 22일 발생했던 이른바 ‘작전명 로켓맨(Operation Rocket Man)’의 주범으로 알려진 금성121이다. 이번 공격은 ‘인사부서 사칭 내용’으로 진행됐던 로켓맨의 후속 작전으로 특정인의 운세 내용을 보여주도록 만들었으며, 해당 문서에는 북한 탈주민의 신상정보가 일부 포함돼 있다”고 설명했다.

이처럼 남북간의 화해 분위기와 달리 사이버상에서는 북한 추정 사이버공격은 지속되고 있다. 이 때문에 국가안보 차원에서 사이버상에서도 종전 협정이 필요하다는 의견 역시 지속적으로 제기되고 있다. 특히, 북한 추정 공격 빈도는 4차 핵실험 당시보다 외형적으론 줄었으나 공격 변화는 다양하게 일어나고 있다.

이와 관련 또 다른 보안전문가는 “북한 추정 사이버공격이 외형적으론 줄어 보일 수 있으나, 최근 들어 공격 코드가 변화하는 등 외부로 드러나지 않기 위해 다양한 형태로 변모하고 있어 예의주시해야 한다”며, “국가 안보적인 측면에서 북한 추정 사이버공격은 남북관계와 상관없이 지속적으로 포착되고 있는 만큼 남북 평화의 분위기에 맞춰 사이버상에서도 종전에 대한 논의가 있어야 한다”고 밝혔다.

하지만 현실적으로 사이버상에서 공격 주범을 입증하기가 쉽지 않기 때문에 종전선언을 한다해도 실효성이 떨어진다는 의견도 있다. 좀더 구체적인 실효적 방안으로 제시되고 협의되지 않으면 현실적으로 쉽지 않다는 얘기다.

이와 관련 고려대학교 정보보호대학원 이상진 원장은 “사이버상의 종전 선언도 의재에 올리는 건 바람직하나, 단순히 종전선언은 실효성이 떨어진다”며 “사이버상에서는 정보수집 차원에서 우방국이라 하더라도 항상 간첩행위는 이뤄진다. 특히, 누군가 북한을 가장하거나 북한이 러시아나 중국을 가장해 공격할 수도 있어 북한이 사이버공격을 했는지 구별이 쉽지 않다. 이 때문에 합의를 하더라도 핵 사찰처럼 북한과 공동 조사해 북한 소행이 아니라는 걸 입증하는 방식으로 이뤄져야 한다”고 설명했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>