北, 또 사이버테러… 10개 공공기관 PC 감염시켜

북한 해킹조직이 국내 금융정보 보안업체의 서버와 PC를 해킹해 전자인증서를 빼낸 사실이 드러났다. 해킹조직은 훔쳐낸 전자인증서를 이용해 만든 악성프로그램을 유포해 주요 정부기관 PC 수십대를 감염시켜 정보탈취를 시도했다.

개인정보범죄 정부합동수사단(단장 손영배 부장검사)은 북한 해킹조직이 국내 금융정보 보안업체 E사의 전자인증서를 빼내 ‘코드서명’을 위조한 악성프로그램을 만든 뒤 국세청과 국토교통부, 서울시청, 부산시청, 경북도청, 농촌진흥청 등 10개 기관 PC에 유포했다고 31일 밝혔다. 코드서명은 컴퓨터에 프로그램을 설치하기 전에 해당 프로그램이 신뢰할 수 있다는 점을 확인하는 수단이다. 특정 기업의 코드서명이 적용되면 사용자가 프로그램을 설치할 때 해당 기업에서 배포하는 정상적인 프로그램이라는 점을 확인하는 메시지를 볼 수 있다. 해킹조직이 ‘정보 보안업체의 코드서명이 탑재된 프로그램은 안전하다’는 공신력을 악용해 정보를 빼내려 한 것이다.

합수단은 올해 2월 한 백신업체가 E사 코드서명이 탑재된 악성 프로그램을 발견해 신고한 것을 계기로 수사에 착수했다. 조사 결과 해킹조직은 지난해 11월 E사 전산서버를 해킹해 내부자료 탈취가 가능하도록 악성 프로그램이 설치했다. 이후 지난해 12월부터 올해 1월 사이 해당 서버에 접속한 직원 PC가 감염되면서 저장돼 있던 E사 전자인증서 등 내부 자료가 유출됐다.

해킹조직은 E사 코드서명을 이용해 악성 프로그램을 만든 뒤 지난 2월 한 학술단체 홈페이지 운영 서버에 설치했다. 악성 프로그램은 PC에 저장된 정보를 빼내거나 또 다른 악성 프로그램을 설치할 수 있도록 하는 기능을 갖고 있었다. 자료 검색 등을 위해 학술단체 서버에 접속한 10개 기관의 PC 19대는 곧바로 악성 프로그램에 감염됐다.

합수단은 이번 해킹 시도를 북한의 사이버테러로 판단했다. E사 서버가 악성 프로그램에 최초 감염된 지난해 11월 말부터 올해 1월 말 사이 북한 지역 고정 IP가 E사 서버에 26회 접속했기 때문이다. E사 직원 사내 이메일로 악성 프로그램을 포함한 ‘남북통일에 대함’이라는 제목의 이메일이 발송됐고, 유포된 악성 프로그램을 명령·제어하는 서버 도메인(dprk.hdskip.com)도 북한(DPRK)과 관련 있다는 점도 확인했다. 합수단은 다만 “악성 프로그램이 발견되자마자 신고가 접수됐고, 곧바로 해당 서버와 PC를 압수하는 등 발 빠른 조치를 취해 실제 정보유출 피해는 일어나지 않았다”고 밝혔다.

최근 북한의 해킹 시도는 국내외를 가리지 않고 무차별로 이뤄지고 있다. 국정원은 북한이 지난 2∼3월 군 책임자 등 외교·안보라인 인사 40명의 스마트폰을 해킹했다고 밝혔다. 또 1월 이후 언론사에 대한 북한의 해킹 공격 사례도 있었다고 국회에 보고했다. 뉴욕타임스도 지난 2월 방글라데시 중앙은행 해킹을 비롯해 최근 동남아 3개국에서 발생한 은행 해킹사건에 북한이 연루된 정황이 포착됐다고 보안 전문가들을 인용해 보도했다.

노용택 기자 nyt@kmib.co.kr

[사회뉴스]
☞
☞
☞
☞