北 해커에 금융보안까지 뚫릴 뻔…"한국, 이젠 막다른 골목"
입력
수정
지면B1
국정원, 北 해커조직 '라자루스' 공격 차단
국내 PC 1000만대에 깔린 '이니세이프' 악용
100분의 1초 만에 악성코드 심는 수법 적발
국내 61개 기관과 기업 PC 200여대 해킹
공격 징후 사전에 포착 … 실제 피해는 없어
"백신 프로그램 최신화하고 2~3중 백업
해킹 대비 신속한 복구 프로세스 훈련해야"
은행과 공공기관 등에 접속할 때 필수 설치해야 하는 금융 보안 프로그램을 활용한 해킹 공격이 확인되자 국내외 보안업계에서 나온 말이다. 북한 해커조직 라자루스는 금융 보안 프로그램 이니세이프의 취약점을 이용해 국내 언론사 8곳을 포함한 61개 기관과 기업 PC 207대를 해킹했다. 이니세이프는 인터넷뱅킹을 위해 필수 설치해야 하는 금융 보안 프로그램 패키지 중 하나다.
○‘워터링홀’ 수법으로 악성코드 유포
8일 보안업계에 따르면 국가정보원은 지난달 초 경기 성남시 사이버안보협력센터에서 과학기술정보통신부, 한국인터넷진흥원(KISA) 등과 긴급회의를 열었다. 금융 보안 프로그램 패키지에서 취약점이 대거 확인됐기 때문이다. KISA 등은 △베스트서트(인증서 관리) △터치엔키(키보드 보안) △케이에스서트(인증서 복사) △아이피인사이드(IP 추적) △베라포트(패키지 관리) 등의 긴급 패치 작업도 했다.라자루스의 공격수법은 이른바 워터링홀(watering hole)로 불린다. 방문 가능성이 높거나 많이 사용하는 사이트를 감염시킨 후 피해자가 이 사이트에 접속할 때 컴퓨터에 악성코드를 심는 수법이다. 경찰청 국가수사본부는 라자루스가 이니세이프 등을 이용해 국내 PC들을 이른바 ‘좀비 PC’로 만들고 이를 통해 대규모 대남 사이버 공격을 준비한 정황을 확인했다.
○간첩에게 지령 보내는 ‘스테가노그래피’ 진화
이메일을 통한 랜섬웨어와 스테가노그래피 공격 수법도 최근 급증한 해킹 방식이다. 랜섬웨어는 몸값을 뜻하는 랜섬과 악성 코드를 뜻하는 맬웨어의 합성어다. 사용자 동의 없이 시스템에 설치돼 파일을 모두 암호화해 인질로 잡고 돈을 요구하는 악성 프로그램이다. 랜섬웨어를 심는 수법은 다양하다. 최근에는 스테가노그래피 기법이 활용된다. 스테가노그래피는 영상이나 사진에 메시지를 숨기는 것을 의미한다. 과거 북한에서 간첩들에게 지령을 숨겨 보낼 때 사용하던 방법이다.예를 들어 회사 로고(CI)로 보이는 그림 파일 안에서 색을 구성하는 코드 뒤에 숫자 ‘1’ 또는 ‘0’을 추가해 별도 명령어를 만든다. 사용자가 그림 파일을 열면 전체 명령어가 실행된다. 대부분의 보안 프로그램이 속도 저하를 이유로 사진이나 영상을 꼼꼼하게 검색하지 않는다는 약점을 파고든 것이다.국내 한 기업 C레벨(최고책임자)급 임원은 거래처에서 보낸 것 같은 이메일을 열었다가 회사의 모든 핵심 데이터를 북한 배후 추정 해커조직 귀신(GWISIN)에게 장악당했다. 데이터에 모두 암호가 걸리면서 열 수 없게 됐다. 해커조직은 암호 해제를 위한 조건으로 325만달러 상당의 암호화폐를 요구했다.
KISA 인터넷침해대응센터(KISC)에 따르면 작년 한국 기업의 해킹 피해 신고 건수는 1142건이다. 2021년(640건) 대비 두 배 가까이로 증가했다. 심재홍 KISC 단장은 “암호화폐 보급과 함께 해킹 공격으로 돈을 벌 수 있다는 인식이 해커조직 사이에 퍼지면서 피해가 급증했다”고 설명했다.
북한이 주도하는 해킹이 급증하는 추세다. 외교안보연구소 자료에 따르면 북한은 2004년부터 사이버 공격을 시작해 2021년까지 그 횟수가 300배 이상 늘어났다. 북한의 해킹 공격을 통한 암호화폐 탈취 규모가 작년 약 16억5000만달러(약 2조1900억원)에 달한다는 분석도 있다.곽경주 S2W랩 위협분석센터장은 “모든 로그인 시도와 소프트웨어 공급 단계는 믿을 수 없다고 가정해야 한다”고 지적했다. 이어 “해킹 방어에 실패하더라도 피해를 최소화할 수 있도록 2·3중 백업 체계를 마련하고, 신속한 복구 프로세스를 훈련하는 ‘사이버 레질리언스’ 대응체계도 도입해야 한다”고 조언했다.
김진원 기자 jin1@hankyung.com