북한 추정 해커조직, 다년간 국내 대상 정보수집 사이버첩보 활동 드러나

아주경제 장윤정 기자= 지난 3년간 국가주요기관을 대상으로 북한이 사이버첩보활동을 수행해온 증거가 발견됐다.

12일 하우리는 2011년부터 3년간 국가 주요 기관 및 연구 기관 등을 대상으로 정보수집을 위한 사이버첩보 활동을 수행한 북한으로 추정되는 조직의 활동 증거를 확보했다고 밝혔다. 이 조직은 3년간 약 수백 명을 대상으로 정보수집 및 악성코드 공격을 수행한 것으로 추정되며 일부 실제 감염된 대상으로부터 기밀정보들이 외부로 유출됐다

해당 조직이 공격 대상으로 삼은 대상은 △국방, 외교, 통일 관련 정부 부처 △국방, 외교, 통일 관련 연구기관 전/현직 원장 대상 △국방, 외교, 통일 관련 연구기관 연구원 △전/현직 외교관 및 해외 주제국 대사 △예비역 장성 △장관 후보자 △국방, 외교, 통일 관련 자문위원에 속한 교수 △탈북자 관련 단체 및 탈북자 등이다.

이들은 대상에게 정보수집을 위한 악성코드를 감염시키기 위해 주로 한글 문서 취약점을 이용, 대상의 이메일로 한글 문서를 첨부파일 형태로 전달했다. 공격을 받은 대상자들은 대부분 감염 당시 패치가 존재하지 않는 제로데이 취약점에 감염된 것으로 추정된다.

특히 각각의 대상에 맞춤형 내용으로 국방 관련자에게는 국방관련 행사 초청 내용 등으로, 연구기관 등에는 관련 연구 논문 및 연구 주제 등으로 전달했다. 또한 해외 주제국의 대사들에게는 해당 국가의 지역 및 주제에 대한 내용으로 한글 문서를 전달하는 등 악성코드 감염을 유도하기 위한 지능적인 방법을 사용했다.

또 해당 조직이 악성코드를 통해 수행한 사이버첩보 활동은 △현재 작업 화면 캡쳐 △키로깅 △각종 웹 브라우저에 저장된 계정 정보 수집 △하드디스크에 있는 파일 목록 수집 △한글문서를 포함한 각종 문서 파일 수집 △추가 악성코드 다운로드 및 실행 등이다.

하우리측은 악성코드에 사용된 암호화 기법 등이 기존에 북한의 소행으로 알려진 악성코드들과 상당부분 유사하며 개발 경로 및 이메일 프로토콜 등에 한글이 사용되는 등 한글 환경에 능숙한 점, 일부 문서에 포함된 북한 폰트인 '청봉체' 등이 해당 조직을 북한으로 추정할 수 있는 요소들이라고 설명했다.

또 이메일 C&C를 통해 명령을 제어하는 해커조직의 관리자 IP가 국내에서 북한의 김정일 일가를 찬양하는 게시글을 올린 IP와 일치하는 문제 등 해커조직의 IP 대역이 주로 대남 사이버전 수행 거점을 설치하고 정보를 수집하고 있는 것으로 알려진 북한 정찰총국이 위치한 중국 동북3성(랴오닝성, 지린성, 헤이룬장성) 등에 위치한 것들이 해당 조직을 북한으로 추정하는 또 다른 이유다.

최상명 하우리 선행연구팀 팀장은 "수년 전부터 북한으로 추정되는 여러 해커조직들을 계속 추적하고 있었다. 최근 해외 보안업체들이 국내의 사이버전 이슈에 관심을 갖기 시작하며 조금씩 해당 이슈들을 연구하기 시작했고, 그 중 일부 조직과 관련된 정보를 공개했다"며“이미 오래 전부터 북한으로 추정되는 해커조직들이 국내를 대상으로 사이버첩보활동을 수행했음이 드러난 상황에서 이제는 더 이상 비공개로 숨길 문제는 아닌 것 같다. 공론화하고 효과적으로 대응할 수 있는 방안을 찾는 데 주력하겠다"고 밝혔다.