국정원·검·경·군 등 사이버안보 정보공동체 보안 권고
"건설·기계 단체 노린 사이버 공격 급증…北 김수키·안다리엘 소행"
(서울=연합뉴스) 노재현 기자 = 국가정보원과 검찰청, 경찰청, 국군방첩사령부, 사이버작전사령부가 참가하는 '사이버안보 정보공동체'는 5일 합동 보안권고문을 내고 국내 건설·기계 분야를 겨냥한 북한 해킹조직의 기술 절취 가능성에 대한 주의를 당부했다.
국가사이버안보센터에 따르면 사이버 정보공동체는 이날 권고문을 통해 "건설·기계 단체 및 지자체 공무원 대상 해킹 공격이 전년 대비 급증한 것을 확인했다"며 "북한이 무단 절취한 우리나라의 건설·기계 및 도시건설 분야 자료들을 공업공장 건설과 지방발전 계획에 사용할 것으로 추정한다"고 밝혔다.
이어 "북한 정찰총국 산하 김수키 및 안다리엘 해킹조직이 같은 시기에 동일한 정책적 목적을 달성하기 위해 특정 분야를 집중 공격하는 것은 이례적"이라며 철저한 대비가 필요하다고 강조했다.
권고문에 따르면 북한 해킹조직 김수키는 올해 1월 우리나라 건설 분야의 한 직능단체 홈페이지를 통해 악성코드를 유포했다.
악성코드는 홈페이지 로그인에 사용되는 보안 인증 소프트웨어에 은닉됐고 이로 인해 홈페이지에 접속한 지자체, 공공기관, 건설기업의 관련 업무 담당자 PC가 감염됐다.
사이버 정보공동체는 "김수키 해킹조직은 유효한 디지털 인증서를 사전에 절취한 뒤 변조된 소프트웨어 파일에 서명하고 정상 보안인증 소프트웨어와 함께 유포하는 등 치밀한 준비 작업을 거쳤다"며 북한이 건설 분야 공직자 해킹을 교두보로 삼아 주요 건설사업 정보와 사업에 참여한 건설기업의 기술 자료 절취를 시도한 것으로 추정했다.
또 지난 4월 북한의 또 다른 해킹조직 안다리엘은 국내 정보보안 소프트웨어에 대한 취약점을 악용해 업데이트 파일을 악성코드로 교체·실행하는 수법을 통해 건설·기계업체 등에 원격제어 악성코드(DoraRAT)를 유포한 것으로 파악됐다.
공격에 사용된 원격제어 악성코드는 파일 업·다운로드, 명령 실행 등 단순하고 경량화된 형태로 만들어졌으며 감염 PC에서 대용·다량의 파일 절취가 가능한 '파일절취형 악성코드'도 확인됐다.
사이버 정보공동체는 북한의 해킹 사례는 개인 부주의가 아니라 홈페이지와 정보보안 소프트웨어의 취약점으로 인해 발생했다며 "북한 해킹조직은 서비스·제품에 대한 취약점을 지속해서 노릴 것으로 전망되는 만큼 조직 구성원과 IT(정보기술)·보안 담당자의 피해 완화 노력이 중요하다"고 밝혔다.
국내 건설·기계 단체에 대한 해킹 시도는 북한의 공업 정책과 무관치 않다는 분석이 나온다.
김정은 북한 국무위원장이 올해 1월 최고인민회의에서 "인민생활을 향상시키는 데서 중요한 문제는 수도와 지방의 차이, 지역 간 불균형을 극복하는 것"이라며 이른바 '지방발전 20×10 정책'을 제시한 뒤 북한은 매년 20개 시·군에 현대화된 공업공장 건설을 추진하고 있다.
사이버 정보공동체는 국제 및 국가 배후 해킹조직의 불법 사이버 활동에 대한 억지력 확보를 목표로 관계기관들의 긴밀한 협력 체계 구축을 위해 작년 7월 발족했다.
주요 임무는 ▲ 국제 및 국가 배후 해킹조직의 주요 공격수법 공동 공개 ▲ 사이버 안보 위해자 공개수배·기소 등 법적 조치 ▲ 불법 활동에 대한 견제 및 억제력 확보 등이다.
nojae@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포, AI 학습 및 활용 금지>
관련뉴스