국내 외교·안보·통일 연구기관 표적… 대규모 사이버 공격 '워터링 홀' 발생

지난 4월부터 한 달간
'미·북회담 정보' 악성파일도
지난 4월부터 한 달간 국내 외교·안보·통일 분야의 연구기관과 군 관련 웹사이트를 대상으로 기밀정보를 탈취하는 ‘워터링 홀(Watering Hole)’ 사이버 공격이 발생한 것으로 드러났다. 사이버 보안업체 이스트시큐리티는 이 같은 내용을 지난달 31일 자사 블로그에 게재했다. 워터링 홀은 공격 대상이 방문할 가능성이 가장 높은 웹사이트를 감염시킨 뒤 잠복하면서 피해자의 컴퓨터에 악성코드를 추가로 설치하는 공격이다.

공격 대상을 특정할 수 있어 기밀정보를 빼내기 위한 사이버 공격에 주로 사용된다. 마치 육식동물이 사냥감을 습격하기 위해 물웅덩이(워터링 홀)에서 매복하는 것과 비슷해 이 같은 이름이 붙었다. 이스트시큐리티는 “이번 공격은 한국의 특정 싱크탱크 사이트를 상대로 한 워터링 홀 공격이라는 의미에서 ‘작전명 물탱크’로 명명했다”고 밝혔다.이스트시큐리티는 이번 공격을 특정 정부기관의 후원을 받은 해커 조직의 소행으로 추정하고 있다. 이들의 침입 방법과 서버에 남은 기록 등을 분석한 결과 수년 전부터 국내 방위산업체, 금융보안업체, 국방기관 등을 대상으로 사이버 공격을 시도한 해커 조직이 쓴 수법과 비슷하다는 판단에서다.

미·북 정상회담 관련 정보를 담은 것처럼 위장한 악성파일도 발견되고 있다. 미국 보안업체 시스코탈로스는 1일 ‘미북 정상회담 및 전망 대비.hwp’라는 이름으로 위장한 한글 워드프로세서 악성파일을 발견했다고 밝혔다.

배태웅 기자 btu104@hankyung.com