세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
가상화폐·스파이전에 집중하는 북한 해커들, 어떻게 대응해야 할까
  |  입력 : 2017-09-28 13:44
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
북한의 사이버공격, 최근 대남 첩보활동과 가상화폐에 집중
북한 사이버공격 피해 최소화를 위한 민·관의 대응책 3가지


[보안뉴스 김경애 기자] 북한 김정은 노동당 위원장이 지난 22일 본인 성명으로 미국에 초강경 메시지를 전한 이후, 한반도 상황이 군사적 초긴장 국면으로 접어들고 있다. 김정은 위원장은 도널드 트럼프의 유엔총회 연설을 강도 높게 비난하면서 도널드 트럼프가 인민공화국의 전멸을 언급한 데 대해 반드시 대가를 받 아야 할 것이라고 경고한 것. 그 이후 미군은 전략폭격기인 B-1B 랜서를 북한 공해상으로 전격 출격시켰으며, 이에 대한 북한의 후속조치에도 관심이 쏠리고 있다.

[이미지=iclickart]


우리나라 정치권의 움직임도 긴박하다. UN 순방을 마치고 귀국한 문재인 대통령은 지난 25일 오후 청와대 여민관에서 수석보좌관회의를 주재하고 “한반도 긴장과 안보 위기가 지속되는 만큼 여·야 등 정치권의 협력과 국민의 단합된 지지가 필요하다”고 당부했으며, 27일에는 여여대표들을 청와대로 초청해 만찬을 함께 하면서 한반도 긴장 완화를 위한 국회의 초당적 대처에 합의했다. 이런 가운데 27일에는 국내 가상화폐 거래소에 대한 잇따른 해킹 시도가 북한 소행이라는 경찰청 사이버안전국의 발표도 있었다.

이렇듯 한반도 긴장이 고조되면 사이버위협 역시 높아질 수밖에 없다. 26일 자유한국당 심재철 의원이 공개한 ‘사이버공격 시도 현황’에 따르면 한국은행은 지난 2013년부터 올해 8월까지 총 399건의 사이버공격을 받았으며, 이중에는 북한의 사이버공격도 포함된 것으로 드러났다. 이보다 앞서 지난 24일 자유한국당 송희경 의원이 발표한 ‘북한 GPS 전파교란 현황’에서는 지난해까지 기지국이 1794국, 항공기 1007대, 선박 715척이 GPS 교란에 영향을 받은 것으로 집계됐다.

북한의 사이버공격은 최근 들어 정치적 목적의 대남활동과 가상화폐 거래소를 타깃으로 한 외화벌이에 집중되는 양상이다. 모의침투연구회에서 북한 해커조직 추적을 계속해온 관계자는 “북한의 사이버공격은 통일전선부 산하의 조직들이 사이버 심리전과 선전·선동을 담당하고, 사이버전 전담 인력들은 사이버테러 등을 감행한다”고 밝혔다. 이어 그는 “중국 선양과 동남아시아 등 제2, 제3국가에서 SNS를 통해 사이버심리전과 사이버테러 등을 자행하고 있다. 일본에서는 제일교포, 중국과 베트남에서는 유학생으로 위장해 교육을 받고 사이버공격을 감행하고 있으며, 말레이시아의 경우 김정남 살인사건 이전까지 무비자 협정으로 사이버전사와 외화벌이 인력들이 투입됐다”고 덧붙였다.

정치적 목적의 대남 스파이 활동으로 중요정보 탈취
특히, 최근 국방·안보 분야를 타깃으로 한 북한 추정 사이버공격이 잇따라 발견되고 있다. 북한의 대남 스파이 작전의 일환으로 추진되는 이러한 사이버공격은 일상처럼 진행돼 왔지만, 최근 들어 특정인을 노려 한글문서 취약점을 악용한 스피어피싱 메일 공격을 감행한 것이 드러났다. 한반도 긴장 고조에 따라 대북 관련 정보를 탈취하기 위한 북한 해커들의 움직임이 더욱 활발해진 것으로 추정된다.

더욱이 최근에는 해군 잠수함의 콜드런치(Cold Launch)기술이 해킹됐다는 소식까지 전해지면서 국방·안보 분야에 빨간불이 들어왔다. 국방·안보 분야의 경우 사회공학적 기법을 활용한 스피어피싱 공격처럼 APT 방식을 통해 뚫릴 때까지 끊임없이 공격을 시도하기 때문에 불특정 다수를 노린 공격과는 전술이 다르다. 사전에 취약점을 최대한 발굴하고, 그에 맞는 은닉형 악성코드가 뿌려지므로 탐지도 쉽지 않다.

이에 국방·안보 분야의 보안강화를 위해서는 새로운 대응전략이 필요하다는 목소리가 나오고 있다. 이와 관련 한 보안업체 대표는 “특정인을 대상으로 한 해킹은 알려진 취약점을 이용하기 보다는 다양한 정보수집 과정을 통해 획득되는 해당 기관·기업만의 취약점을 노리고 공격하는 것이 특징”이라며 “만약 이러한 취약점을 찾을 수 없을 경우 패치가 불가능한 인적 취약점을 악용한다”고 말했다.

보안기업의 한 연구원도 “방위산업체들의 보안수준이 그렇게 높지 않다”고 지적하며 “스피어피싱이나 공용 소프트웨어 취약점은 항상 반복되는 문제”라고 밝혔다.

큐브피아 권석철 대표는 “국방·안보분야말로 실시간 탐지가 중요한데, 이러한 부분이 현 체계에서는 제대로 이뤄지지 않고 있다”며 “국방 분야 신기술은 공격자가 마음만 먹으면 얼마든지 가져갈 수 있다. 더욱 안타까운 건 해군 잠수함의 콜드런치 기술이 해킹된 사건에서 알 수 있듯이 해킹된 기술이 외려 우리를 위협한 기술로 자리 잡을 수 있다는 것”이라고 우려했다.

경제제재에 따른 외화벌이 목적으로 가상화폐 거래소 노려
북한 해커조직이 집중하는 또 다른 분야는 바로 가상화폐 관련자들을 타깃으로 하는 공격이다. 지난해부터 올해까지 알려진 사이버공격 외에도 표면에 드러나지 않은 공격까지 포함하면 상당수에 달할 것이라는 우려다. 이는 핵·미사일 실험 이후, 국제사회의 북한 경제제재가 심화되면서 외화벌이를 위한 통로로 가상화폐를 적극 활용하기 때문이다.

이와 관련 카이스트 김용대 교수는 “기술을 어떻게 쓰느냐에 따라 다르겠지만 북한 추정 해커들은 다양한 목적으로 각종 악성코드를 사용하고 있다”며 “특히, 가상화폐를 타깃으로 한 그들의 첫 번째 관심은 외화벌이로, 각종 무역 압력에 견디기 위해 금전적 목적의 해킹은 계속 증가할 것”이라고 예측했다. 라온시큐어 이종호 연구원 역시 “최근 들어서 비트코인 이슈 관련해서 기업뿐만 아니라 개인에게도 많은 공격이 이루어지고 있다”고 언급했다.

27일 경찰청 사이버안전국의 발표에도 드러난 것처럼 북한 해커들은 비트코인 등 가상화폐를 탈취하기 위해 스마트폰을 해킹한 후, 국내 대형 포털사이트의 계정을 도용하거나 신규 생성하는 일까지 서슴지 않았다. 최근 본지가 대형 포털사이트의 메일 계정을 탈취하기 위한 북한 추정 사이버공격 사실을 보도한 바 있는데, 포털 메일 계정을 탈취해 가상화폐 거래소 공격에 활용하는 일련의 공격 프로세스가 의심되는 대목이라고 할 수 있다.

대응책 1. 아키텍처·프로세스 기반의 위협중심 시장으로 이동해야
그럼 이렇듯 국방·안보 분야와 가상화폐 분야를 타깃으로 집중되는 북한의 사이버공격에 우리는 어떻게 대응해야 할까. 우선 정부부처, 공공기관, 기업의 보안담당자들이 북한의 사이버공격에 우리도 당할 수 있다는 인식과 함께 보안 프로세스에 대한 보다 근본적인 성찰이 필요하다는 의견이 제기됐다. 이와 관련 보안업계의 한 CEO는 “국내외 약 50개가 넘는 내부망을 직접 점검하고 분석하는 업무를 하다보면, 현 대응체계가 새로운 공격방법에 대한 효과적인 대응책을 모색하기 보다는 기존의 기득권을 고수해 시장을 지키겠다는 생각이 앞선다”고 지적했다.

따라서 지난 2003년 1.25 대란을 기점으로 형성된 기술·인력 중심의 보안시장이 이제는 아키텍처, 프로세스 기반의 위협중심 시장으로 이동해야 한다는 설명이다. 해외는 그런 방향으로 무게중심이 옮겨가고 있는 반면, 국내시장은 아직도 과거의 패러다임에 머물러 있다는 설명이다. 이러한 차원에서 능동적인 조기탐지의 중요성이 강조되고 있다.

큐브피아 권석철 대표는 “북한의 사이버공격이 줄지 않는 근본적 원인은 공격자들 입장에서 간단히 공격할 수 있고 발각되지 않을 수 있다는 자신감이 있기 때문”이라며 “결국 이러한 공격을 조기 탐지하는 방법이 필요하다”고 말했다. 이어 권 대표는 “모든 공격은 결국 엔드포인트 단인 PC를 타고 들어오기 때문에 내부망 분리 등을 비롯해 아무리 보안이 잘 되어 있어도 사람 실수로 내부 PC안으로 악성코드를 내려 받게 되거나 유입되면 현재 기술로서는 차단하기가 매우 힘들다”며 “사전탐지 기술이 조기 도입되거나 국가가 이러한 기술을 적극 개발·도입해야 한다”고 강조했다.

한국인터넷진흥원 글로벌보안협력팀 이정민 팀장은 “사이버 보안은 하루 아침에 완성되는 것도 아니며, 한번 구축됐다고 해서 지속되는 것도 아니”라며 “끊임없이 노력하고 투자해야 한다”라고 말했다. 덧붙여 그는 “위협의 사전 또는 조기 탐지를 위해서는 사이버 보안인력의 육성이 선행돼야 한다”며, “화이트해커, 보안관제요원 등의 근무환경이나 처우를 개선하는 노력이 필요하다”고 강조했다.

대응책 2. SW 취약점 감소 및 신속한 패치 노력 시급
위협 탐지의 패러다임 전환과 함께 자주 언급되고 있는 이슈가 바로 소프트웨어의 취약점 문제다. 특히, 최근에는 넷사랑이나 씨클리너의 사례처럼 범용 SW의 취약점을 노린 우회 공격으로 특정인이나 기업을 공격하는 사례도 많아지고 있다. 이와 함께 한글, 워드 등의 문서 취약점을 악용한 공격도 계속 이어지고 있다.

이와 관련 기업의 한 CISO는 “HWP 문서의 취약점을 노린 공격과 관련해서는 우리나라 정부가 정책적 고려로 인해 부처나 공공기관에서 해당 소프트웨어를 많이 사용하고 있어 민간기업보다는 정부나 공공기관을 타깃으로 한 공격에 많이 활용되는 것으로 추정된다”며 “공격을 직접 수행할 수 있는 실행 파일의 경우 첨부파일 필터링을 통해 공격효과가 반감될 수 있는 반면, 보편적으로 사용되는 문서 형태의 파일에 대해서는 경계심이 낮은 게 사실이므로 해당 SW 제공업체에서 취약점을 조기에 발견해 패치하는 것이 중요하다”고 설명했다.

또한, 카이스트 김용대 교수는 △ 제로데이(Zero-day) 취약점 탐지를 위한 능동적인 대처 미흡 △안전한 소프트웨어 개발 및 보안기술 관점에서의 성능 개선 관심 부족 △웹서비스 개발자의 보안성 미흡 △사용자 패치 소홀 등을 문제로 제기했다.

이와 관련 김용대 교수는 “특히, 비트코인 거래소 등과 관련된 웹서비스 개발자는 기본적으로 웹서비스들이 가져야 하는 보안성을 충분히 제공하지 못하고 있다”며, “보다 적극적으로 웹사이트에 대한 취약점 분석과 개선 작업에 나서야 한다”고 강조했다.

또한, 웹사이트 사용자들도 SW의 최신 버전 업데이트에 경각심을 가져야 한다는 게 보안전문가들의 공통된 지적이다. 익명을 요청한 한 보안전문가는 “가상화폐를 노린 공격이 집중되고 있는 만큼 해당 관련자들은 각별히 주의해야 하며, 메일 수신시 첨부파일 문서를 열람할 때 보안 업데이트가 최신으로 되어 있는 문서 편집기를 통해 열람할 것”을 당부했다.

라온시큐어 이종호 연구원 역시 SW의 최신 버전 업데이트를 강조하며 “대부분의 공격자들은 이미 패치가 공개된 취약점을 이용하기 때문에 설치된 소프트웨어와 OS를 최신버전으로 업데이트만 해도 많은 공격을 사전에 예방할 수 있다”고 말했다.

대응책 3. 신속한 정보공유 및 협조체계 마련
마지막은 매번 강조되는 것처럼 정부부처, 공공기관, 기업, 그리고 보안기업 간의 신속한 정보공유 및 협조체계의 중요성이다.

금융보안원의 곽경주 과장은 “신속한 정보공유를 위해서는 위협에 대한 위험도 평가(Risk Assessment)를 할 수 있는 기술력과 통찰력이 필요하고, 내외부 위협요소에 대해 지속적으로 정보를 수집하는 전담팀이 필요하다”며 “인텔리전스 담당자는 기술 기반의 인력이지만, 커뮤니케이션 스킬이 반드시 수반돼야 한다”고 말했다.

한 보안업계 연구원 역시 정보공유가 미흡하다는 점을 지적하면서 “북한은 한국어와 한국 문화에 대해 너무나 잘 알고 있다. 한국에서 주로 사용하는 소프트웨어를 파악하고 있으며 이들 프로그램의 취약점을 끊임없이 연구하고 있다”며 “이를 위해서는 기존 침해사고에 대한 조사결과 등이 수시로 공유되어야 하는데, 현재는 공격자가 어떻게 공격했는지도 제대로 공개가 되지 않고 있는 실정”이라고 아쉬움을 나타냈다.

이에 대해 김용대 교수는 “사전예방 차원에서 빠른 시간 내에 인텔리전스(Intelligence) 정보를 많이 모으고 공유할 수 있는 체계가 필요하다”며 “북한의 사이버공격을 예방·차단하는데 있어 기술적·정책적인 측면에서 어떤 노력이 필요한지도 관련기관들이 함께 모여 수시로 논의해야 한다”고 강조했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
애플이 아이폰X에 얼굴인식 방식인 페이스ID를 새롭게 도입한다고 해서 관심이 모아지고 있습니다. 이를 계기로 스마트폰에 탑재되는 생체인식기술 간 보안성 및 편리성 대결도 벌어지고 있는데요. 이를 모두 고려할 때 스마트폰에 탑재되는데 있어 가장 효과적인 생체인식기술은 무엇이라고 보시나요?
지문인식
홍채인식
얼굴인식
화자인식(목소리로 누구인지 식별)
다중인식(지문+홍채, 지문+얼굴 등)
기타(댓글로)