▲ 북한이 한국 공무원을 대상으로 한 해킹 준비를 위해 정찰활동을 하고 있는 것으로 확인됐다. [AXIOS]

북한이 한국 공무원을 대상으로 한 해킹 준비를 위해 정찰활동을 하고 있다는 것을 보여주는 악성코드가 사이버전 추적 전문 연구기관에 의해 17일 탐지됐다고 RFA가 전했다. 

한국의 사이버전 추적 전문 비영리 연구기관인 이슈메이커스랩(IssueMakersLab) 관계자는 북한의 해킹그룹(Andariel Group)이 지난달 말에 이어 약 3주 만에 또 다시 한국의 지방 공무원 노동조합 웹사이트를 해킹해 악성 코드를 유포하기 위한 정찰 단계에 있다고 17일 자유아시아방송(RFA)에 밝혔다는 것이다.

이슈메이커스랩 관계자는 “공무원들 노동조합이니까 공무원이 아닌 일반인은 들어갈 일이 없는 사실상 공무원 전용 사이트인데 거기서 악성코드를 유포하려고 정찰을 하고 있기 때문에 정확하게 공무원을 타겟 즉 목표로 했다고 밖에 생각할 수 없다”라고 말했다.

이 관계자는 이번 악성코드는 특히 한국 관공서에 민원신청을 할 때 사용하는 컴퓨터 소프트웨어 프로그램의 취약점을 악용한 악성 코드 유포를 최종 목표로 하는 것으로 추정했다.

이슈메이커스랩 관계자는 “기존에는 탈북자나 북한을 연구하는 사람들 위주였는데 직접적으로 공무원을 대상으로 하는 공격은 저도 처음 봤다”면서 “(악성코드 유포가) 어떤 목적일지 가늠은 잘 되지 않지만, 누구든지 간에 공무원이 악성코드에 감염이 된다면 그 공무원을 통해서 정부 웹사이트라든지 아니면 정부 기관 내부에 침투가 가능하다”고 분석했다. 북한이 그러한 목적으로 해킹 정찰을 하고 있지 않나 판단된다는 것이다.

한국인의 대다수가 한 번쯤은 민원 서류를 온라인 상에서 발급받았을 수 있기 때문에 이 소프트웨어의 사용자가 한국에 상당히 많고, 따라서 악성코드가 유포될 경우 큰 피해가 예상된다는 것이다. 이슈메이커스는 이 같은 피해를 미연에 방지하기 위해 악성코드가 유포되기 전에 사전에 경고 조치를 취한 것이라고 밝혔다.

이슈메이커스는 지난 5월과 6월에도 세계적인 컴퓨터 바이러스 백신업체인 트랜드마이크로(TrendMicro)와 함께 북한의 정찰악성코드를 탐지한 바 있다.

이 관계자는 지난 5월에는 북한 해킹단체가 탈북자 단체나 한국의 정책연구소 등을 대상으로 정찰에 그친 것이 아니라 악성코드 유포 단계까지 진행시켰는데, 당시 유포된 악성코드로 미뤄 지난달과 17일의 정찰 활동도 비슷한 악성코드를 뿌리려 한 것이 아닐까 추정한다고 말했다.

이슈메이커스랩 관계자는 “아직 악성코드를 뿌리지는 않았기 때문에, 사실 어떤 악성코드가 유포될지 실제로 뿌려지기 전까지는 알기 어렵다”면서 “하지만 이 수법이 처음은 아니기 때문에, 이런 식으로 공격하는 것은 5월에도 있었고, 6월에도 있었는데, 5월달 같은 경우에는 정보탈취, 즉 감염된 개인컴퓨터 PC에서 다양한 정보를 가져가고, 그 다음에 다시 추가로 악성코드를 더 보내서 해커가 원격으로 제어하는 악성코드를 많이 뿌렸다”고 말했다.

이 관계자는 북한 해커들이 특히 서울보다는 지방의 공무원 노동조합을 장악했는데 악성코드를 유포해서 노동운동 관련 문건을 입수해 이를 이용한 사회적 혼란을 야기하려 할 수도 있다고 우려했다.

한편, 이슈메이커스랩의 테일러 김(Taylor Kim) 연구원은 “그간 밝혀진 ActiveX 모듈뿐만 아니라 소프트웨어 자체의 새로운 취약점을 대상으로 공격을 시도하고 있어서, 국내 기관의 웹사이트에 적용된 소프트웨어 개발업체들은 꾸준한 보안 취약점 점검을 통해 해킹 사고 위험을 미연에 방어할 필요가 있다”고 밝혔다.

장성민 트렌드마이크로 침해대응 센터장은 “한국에서 개발된 국내용 소프트웨어의 경우 글로벌 사용자가 없는 관계로, 이를 집중적으로 노린 북한 등 타국의 해커에 의해서 취약점이 발견될 수 있다”며, “취약점이 곧 활용되어질 것으로 예측될 경우, 해당 개발사들의 신속한 제로데이 패치가 요구된다”고 강조했다.

이에 대한 자세한 내용은 트렌드마이크로 블로그를 통해 확인할 수 있다.