'개인평가 실시' 파일 열자 악성코드…北 해킹그룹 주의보

김진원 기자

입력2023.05.02 12:10 수정2023.05.02 14:29

북한 배후 추정 해킹그룹 ‘김수키(Kimsuky)’와 ‘레드아이즈(RedEyes)’ 등이 한국의 정보지, 인사평가서 등으로 위장한 악성코드를 퍼트리고 있는 것으로 확인됐다.

2일 보안기업 안랩에 따르면 최근 확인된 악성코드 파일명은 △230407정보지 △2023년도 4월29일 세미나 △2023년도 개인평가 실시 △한국 핵무장 전문가 좌담회 △인터뷰 질의문 등이다. 사용자가 이러한 미끼 파일을 클릭하면 모니터에는 정상적으로 보이는 문서 파일이 열린다. 사용자가 해킹 행위를 알아차리지 못하게 하기 위해서다.

동시에 별도의 명령어를 담은 스크립트 파일이 실행된다. 해커가 숨겨둔 악성코드가 실행된다. 암호화된 악성코드는 사용자가 키보드를 이용해 입력한 결과를 저장해 해커에게 전송하는 역할을 한다. 내부망에 접속하는 아이디와 비밀번호를 가로채기 위한 수법이다. 주된 공격 대상은 신문사와 방송국, 대학교, 반도체 협력사, 싱크탱크 등인 것으로 확인됐다. 공격 대상이 아닌 사용자의 PC를 감염시킨 경우엔 활동을 하지 않고 스스로 삭제되기도 하면서 추적을 피했다.

안랩 측은 “북한 배후로 알려진 해킹 조직이 악성코드를 갈수록 다양한 형식의 파일로 만들어 유포하고 있다”며 “최근에는 사례비 양식이나 개인정보 양식으로도 위장해 퍼지는 만큼 첨부파일 실행에 유의하고 사용 중인 백신 프로그램을 항상 최신 버전으로 업데이트 해야 한다”고 조언했다.

김진원 기자

관련 뉴스

1

"130만원이면 '기업망 비번' 산다…2·3차 협력사 보안도 신경 써야"

“국내외 주요 기업의 내부 전산망을 관리하는 권한을 지닌 아이디와 비밀번호를 다크웹에서 1000달러(약 130만원)에 쉽게 살 수 있습니다.”데이터 보안기업 에스투더블유(S2W)의 서상덕 대표(사진)는 30일 한국경제신문과의 인터뷰에서 “전산 관리자 계정은 해킹 공격의 핵심 통로가 돼 기업에 막대한 손해를 입힐 수 있어 집중적으로 관리해야 한다”며 이같이 말했다.S2W는 다크웹 분석이 전문 분야다. 다크웹은 특수 브라우저를 통해서만 접속할 수 있는 인터넷 세계다. 네이버 등 ‘서피스 웹(표면 웹)’은 전체 인터넷 세계의 5%에 불과하다. 다크웹에선 마약, 아동 성 착취물, 해킹 정보 거래 등 각종 범죄 행위가 이뤄진다.S2W는 다크웹에서 자료를 모아 연관성을 분석한다. 암호화폐 계좌번호 등이 담긴 게시물을 확인해 작성자를 추적한다. 기술력을 인정받아 인터폴과 국가정보원, 경찰, 국방부 등과 협업한다.S2W는 이날 실제 다크웹에서 해외 통신기업 관리자 계정 판매 게시물을 확인하고 추적용 기록을 남기는 과정을 시연했다. 서 대표는 “해커조직은 다크웹에서 관리자 계정을 확보한 뒤 해당 기업 내부망에 악성코드를 심는다”며 “핵심 데이터를 모두 지워버리거나 전산망을 마비시킨 뒤 복구해주겠다며 거액의 암호화폐를 요구한다”고 말했다.기업이 디지털 전환(DX)에 나서면서 해킹 공격에 더욱 취약해졌다는 게 그의 주장이다. 서 대표는 “국내 한 중견 축산기업이 사이버 공격을 받아 급수시설과 환기장치 등이 모두 멈추면서 돼지와 닭 등이 집단 폐사할 뻔했다”며 “그동안 해킹과 무관할 것으로 여겨지던 기업도 안심할 수 없다”고 경고했다.그는 국내 대기업과 협력사의 사이버 보안을 대폭 강화해야 한다고 조언했다. 서 대표는 “2·3차 협력사를 통해 핵심 제품 설계 도면과 생산설비 사물인터넷(IoT) 접속 권한 등이 유출되는 일이 많다”고 강조했다.김진원 기자 jin1@hankyung.com
2

LGU+, 427만명 피해보상안 발표…소상공인·PC방 집중 지원

LG유플러스가 지난 1월 발생한 디도스 장애와 고객 정보 유출에 따른 피해보상안을 28일 발표했다. 개인 고객들에겐 평균 1000원가량을 요금 감면으로 보상한다. 사업자 고객은 소상공인과 PC방 사업자로 구분해 요금 감면, 현금 보상 등을 지원하기로 했다. 개인 고객은 요금 감면, 온라인 몰 할인 쿠폰 보상LG유플러스는 보상안의 객관성을 높이기 위해 협의체를 구성하고 약 40일간 10여 차례의 개별 미팅과 현장 실사, 전체 회의 등을 진행했다. 이 협의체는 김기홍 한국PC인터넷카페협동조합 이사장, 박성범 법무법인 율촌 변호사, 송지희 서울시립대 경영학부 교수, 이은아 매일경제 논설위원, 차남수 소상공인연합회 정책홍보본부장, 한석현 서울YMCA시민중계실 실장 등 외부 인사 6명과 LG유플러스 임원 등으로 구성됐다.협의체는 지난 2월 16일부터 접수된 인터넷 접속 오류들을 분석한 뒤 보상안을 일반 개인 고객과 사업자 고객으로 분류했다. 개인 고객에 대해선 인터넷TV(IPTV) 단독, 인터넷 단독, 인터넷 결합 등의 서비스를 이용하는 개인 가입자 427만명에 장애시간 대비 10배를 보상하기로 했다. 보상 방식은 고객별 5월 청구 요금에서 자동 감면되는 방식이다. 고객 1인당 평균 1041원의 감면 효과가 예상된다.추가 보상안도 마련했다. LG유플러스는 자사 온라인 몰인 ‘U+콕’에서 상품을 구매할 때 3000·5000원 상당의 할인 쿠폰을 피해 고객에게 제공하기로 했다. 쿠폰은 다음 달 9일부터 발행돼 고객에게 문자로 안내될 예정이다. 문자를 받지 못한 고객도 LG유플러스 웹사이트에서 다음 달 24일부터 별도로 쿠폰 신청이 가능하다. 이 쿠폰은 오는 7월 31일까지 사용 가능하다. PC방은 요금 감면이나 현급 지급 중 선택사업자 고객에 대해선 소상공인과 PC방 업주로 나누어 보상하기로 했다. 협의체는 모든 LG유플러스의 소상공인 대상 서비스 이용자에 대해 이용 요금 1개월분을 감면하기로 했다. 이는 오는 6월 청구 요금에서 적용될 예정이다. 협의체가 소상공인 피해 사례 330여건을 들여다본 결과 ‘결제 불가 문의’가 31%로 가장 많았고 ‘배달주문 불가(25%)’가 그 뒤를 이었다.LG유플러스는 온라인 블로그 홍보 서비스인 ‘레뷰’도 소상공인 2000명에게 무상 지원하기로 했다. 이 서비스로 3개월간 15회의 블로그 콘텐츠 홍보를 지원한다. 신청을 원하는 소상공인은 LG유플러스에서 안내 받은 문자 링크를 통해 서비스를 신청할 수 있다. LG유플러스는 운영비 및 매장 내 가전제품 지원 등의 혜택을 주는 ‘착한가게 캠페인’도 운영할 예정이다.PC방 사업자에 대해선 지난 1월 29일과 2월 4일 중 접속 오류를 겪은 PC방에 보상금을 차등적용하기로 했다. 보상 방식은 7~8월 중 현금 지급안과 6~7월 중 이용요금 감면안 중 사용자가 선택할 수 있도록 했다. 협의체는 한국콘텐츠진흥원의 데이터를 기반으로 PC방의 잠재 매출 피해 정도도 가늠했다. 이 결과 평균 1월 29일엔 32만3000원, 2월 4일엔 38만7000원의 보상액이 책정됐다. PC방 사업자 민원은 ‘인터넷 접속 오류로 인한 손님 이탈(59%)’, ‘요금 환불(35%)’ 등이 많았다. 오는 2~11일 피해 추가 접수협의체는 오는 2일부터 11일까지 추가 피해 접수도 받기로 했다. 지난 1월 29일이나 2월 4일 디도스 장애로 인해 인터넷 접속 오류를 겪었던 고객들이 대상이다. 피해보상센터는 평일 오전 9시부터 오후 9시까지 운영되며 홈페이지 신청은 24시간 가능하다.LG유플러스는 1000억원을 투입해 개인정보 유출 및 디도스 장애 재발을 방지하겠다는 계획이다. 이철훈 LG유플러스 대외전략담당 전무는 “보상은 결과가 아니라 앞으로의 시작을 알리는 활동”이라며 “신뢰 회복을 위해 더 진정성 있는 프로그램을 선보이겠다”고 말했다.LG유플러스는 디도스 공격을 당해 지난 1월 29일과 2월 4일 유선망 접속 장애가 발생했다. 이 과정에서 웹 관리자 계정 암호를 초기 암호 그대로 설정하는 등 고객 인증 데이터베이스(DB) 시스템의 취약성이 드러나면서 고객 정보가 유출된 것으로 파악됐다. 과학기술정보통신부와 한국인터넷진흥원(KISA)이 디도스 공격자가 누구인지를 규명하려 했지만 아직은 공격 주체나 유출 경로를 밝히지 못한 상태다.이주현 기자 deep@hankyung.com
3

관리자 암호가 '관리자'? LG유플, 30만명 개인정보 어쩌나 [이명지의 IT뷰어]

[이명지의 IT뷰어]올 초 LG유플러스는 개인정보 유출에 이어 디도스 공격으로 인터넷이 ‘먹통’이 되는 악재를 겪었습니다. 이 때문에 지난 2월 황현식 LG유플러스 대표가 직접 사과를 하기도 했는데요.워낙 대규모의 사고였던 만큼 과학기술정보통신부와 한국인터넷진흥원은 2개월 간 대대적인 조사에 돌입해 사고 규명에 나섰습니다. 그리고 조사 결과를 27일 발표했습니다. 과기정통부는 2개월간 진행한 조사에서 2018년 6월 생성된 29만7117명의 LG유플러스 고객 정보가 고객 인증 시스템에서 유출된 것을 확인했다고 밝혔습니다.그러면서 고객정보 유출의 이유로는 LG유플러스의 고객 인증 시스템 취약(암호, DB접근제어 미흡), 대용량 데이터 이동 등 실시간 감시 체계가 없었다고 밝혔죠.이번 과기정통부의 조사 결과는 다소 충격입니다. 개인 정보가 유출된 곳으로 추정되는 LG유플러스의 고객 인증 데이터 베이스(DB) 관리자 암호는 초기 상태 그대로였던 것으로 알려졌습니다. 관리자 암호가 ‘admin’ 이었다는 거죠. 이처럼 안일한 정보 관리로 인해 고객 정보 유출이 되는 것은 ‘시간 문제’ 였던 것으로 보입니다.보안 장비 역시 미흡했습니다. 과기부에 따르면 디도스 공격에 따른 인터넷 접속 장애의 경우, 통신 연결 장치인 내부 라이터 장비가 외부로 노출돼 라우터 간 접근제어 정책이 미흡해 해커의 공격이 가능한 상태였다고 합니다. LG유플은 주요 네트워크 구간에 보안 장비를 설치하지 않았습니다. 홍진배 과기정통부 실장은 “해커가 네트워크를 구성하는 LG유플의 라우터 장비를 대상으로 공격을 시도해 네트워크 장애를 유발했고, 라우터 장비에 다량의 비정상 패킷이 유입되면서 통신 장애가 발생했다”고 설명했습니다. 상황이 이렇게 되자 조사 결과가 발표된 날, LG유플러스는 2월에 이어 재차 사과했습니다. 앞으로 어떻게 할지도 밝혔죠. 지난 2월에는 CEO 직속 사이버안전혁신추진단을 구성했죠. 이를 위한 1000억원 규모의 투자도 준비 중입니다. 또 사고 직후에는 개인정보 보호 및 디도스 방어를 위한 긴급 진단과 보안 장비 및 솔루션 도입, 클라우드를 활용한 서비스의 긴급 점검, 접근제어 정책 강화 등 즉시 개선이 가능한 부분을 조치 했다고 밝혔습니다. 이 밖에 화이트해커 등 외부 전문가를 활용한 취약점 점검과 기술 예방활동 강화, AI 기반 개인정보 탐지 시스템 구축을 진행합니다. 외부 전문가 그룹으로 구성된 정보보호 자문위원회를 본격 가동하고, 회사 내 CISO, CPO 조직 개선과 전문 인력 투자도 시행합니다.이처럼 다양한 대책을 내놨지만 이미 2018년부터 LG유플을 통해 유출된 개인정보는 30만명에 이르는 것으로 보입니다. ‘소 잃고 외양간 고친다’는 비판이 안 나올 수가 없는데요, 최근 통신사들은 통신을 넘어 비통신 분야의 투자를 늘리고 있습니다. 정체된 통신 시장에서 벗어나 새로운 먹거리를 찾겠다는 의도죠. LG유플러스도 그러합니다. 하지만 정작 기본이 되야 할 정보보호 투자가 타사 대비 현저히 떨어진다는 점에서 비판을 비하긴 어려울 것 같습니다. 과기부에 따르면 지난해 LG유플러스의 전체 정보통신 투자 대비 정보보액 투자액 비중은 3.7%로 KT 5.2%, SK텔레콤 3.9%보다 낮았습니다. 정보보호 인력 역시 KT 336명, SK텔레콤이 305명인 것에 비해 훨씬 적은 91명으로 나타났습니다. 이명지 기자 mjlee@hankyung.com