세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
북한 해커들, 군사 첩보 목적으로 미국 전기회사 여러 곳 해킹했다
  |  입력 : 2017-10-12 11:18
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
북한, 미국 전기회사 수 곳 겨냥해 스피어 피싱 공격
“외교·경제적으로 이미 불리한 위치... 과감한 공격 가능”


[보안뉴스 오다인 기자] 최근 북한 해커들이 미국 전기회사 여러 곳을 겨냥해 스피어 피싱 공격을 펼친 것으로 드러났다. 이번에 북한은 즉시 운영에 지장을 주려는 것보다 정보를 수집하는 정찰 목적에서 이 같은 공격을 펼친 것으로 보인다.

[이미지=iclickart]


단순 정찰 목적이었다 하더라도, 이번 공격은 다른 국가들이 보복을 당할까봐 두려워 멀리 하는 대상을 북한은 기꺼이 공격할 수 있다는 의지를 보여준 것으로 평가된다. 보안 업체 파이어아이(FireEye)의 최고첩보전략가 크리스토퍼 포터(Christopher Porter)는 이 같은 분석을 바탕으로 이번 주 경고를 발령했다.

“북한은 미국의 군사 행동을 저지하려고 미국 에너지 회사에 침투하고자 시도하는 것 같습니다.” 포터는 북한이 보복할 능력이 충분하다는 것을 보여주고 이에 대한 긴장감을 높이려는 목적에서 이런 공격을 펼친 것이라고 덧붙였다.

포터는 “북한은 남한에 대해서도 똑같은 수법을 써왔다”고 말한다. “남한의 원자력 산업을 해킹하고 이에 대한 접근성을 과장함으로써 공포심을 심어주는 수법 말입니다. 북한이 이만큼 피해를 일으킬 수 있다는 걸 과시하는 거죠.”

파이어아이는 자사의 보안 관제 기술로 탐지한 결과, 지난 9월 22일 미국 전기회사 여러 곳에 스피어 피싱 이메일이 발송됐다는 사실을 발견하고 이를 차단했다고 밝혔다. 파이어아이는 이번 공격으로 북한이 미국의 사회기반시설을 대상으로 더 큰 사이버 공격을 도모하고 있었다거나 그런 역량을 갖췄다는 증거는 아직 발견하지 못했다고 설명했다.

파이어아이에 따르면, 북한 해커들은 산업제어시스템(ICS)을 공격 및 조작하거나 전기 공급을 방해하기 위해 설계된 툴과 수단을 전혀 사용하지 않았다.

국가 간 지정학적 긴장감이 고조되는 시기에 정부가 지원하는 해커들이 타국의 에너지 부문을 겨냥해 스피어 피싱 캠페인을 펼치는 건 매우 흔하게 나타나는 일이다. 공격의 목적은 대개 보복성 공격을 수행할 만한 상황이 조성됐을 때 써먹을 수 있는 첩보를 수집하기 위해서다. 파이어아이는 이 같은 목적에서 에너지 부문 기업을 공격한 국가를 최소 4개나 찾아냈다며, 해당 4개국이 지원한 해커 그룹은 20개 이상으로 탐지됐다고 말했다.

북한의 해킹 공격이 중요한 의미를 갖는 이유는 바로 일이 불러올 결과를 크게 생각하지 않고 북한이 사이버 공간에서 자신들의 공격 역량을 사용하고자 한다는 점이다. 포터는 “북한 해커들은 아주 숙련돼 있지만 그보다 중요한 사실이 있다”며 “여타 사이버 강국이 시도하지 않는 작전을 북한 해커들은 실행에 옮긴다는 것”이라고 지적했다.

예를 들어, 북한은 2016년 금융 네트워크 SWIFT를 겨냥한 사이버 공격, 유럽 금융 규제기관과 동남아시아 은행을 겨냥한 공격, 암호화 화폐에 대한 공격 등의 배후로 지목된다. 미국 국가안보국(NSA)을 포함해 다수가 올해 발발한 워너크라이 랜섬웨어 사태의 배후도 북한이라고 지목하고 있다.

정부가 지원하는 해킹 그룹들은 대부분 북한과 유사한 공격을 수행할 수 있다. 그러나 그 중에서도 북한은 추적되거나 배후로 적발될 위험을 사실상 거의 고려하지 않은 채 공격을 수행하는 유일한 국가다. 포터는 “북한이 외교적으로나 경제적으로 매우 고립돼있기 때문에 저돌적인 작전을 수행하는 데 불리한 점이 거의 없다”고 말했다. 이미 불리할 대로 불리하기 때문에 그만큼 공격적인 작전을 펼칠 수 있다는 뜻이다.

다른 국가의 해킹 그룹과 비교해서 북한의 해킹 그룹은 아직까지 스피어 피싱에 의존하는 경우가 대부분이다. 북한은 대다수 타깃을 해킹하는 데 상대적으로 단순한 멀웨어를 사용하고 있는 편이다. 게다가 북한 해커들은 정부가 제어하는 랜섬웨어와 디스크 와이퍼(disk wiper) 개발에 혁신을 거듭하고 있다. 포터는 “북한의 진짜 위험은 민감한 타깃을 대상으로 새 기술을 실험하고자 하는 의지에서 나온다”고 짚었다.

산업제어시스템 보안 서비스 제공업체 PAS의 CEO 에디 하비비(Eddie Habibi)는 북한이 미국 사회기반시설을 공격한다는 사실과 그 위험에 대해 심각하게 논의해야 한다고 경고했다.

하비비는 “사회기반시설 산업의 프로세스 제어 네트워크는 사이버 자산 중에서 가장 취약한 부분”이라며 “침해될 경우 물리적으로 가장 큰 피해가 따를 것”이라고 말했다. 대다수 기업은 산업제어시스템 장비 목록을 정확하게 작성하고 있지 않다는 건 잘 알려진 사실이다. 기껏해야 프로세스 제어 네트워크 기기의 20% 정도만 기록돼 있는 상태다. 즉, 나머지 80% 기기는 보호되지 않은 채 방치돼있다는 말이다.

북한은 네트워크 공격 역량을 계속해서 진화시키는 중이다. 하비비는 북한 해커들과 관련한 모든 징후는 북한이 다른 나라를 공격할 만한 능력을 계속해서 성숙시키고 있다는 표식으로 읽힌다고 말했다. 동시에, 북한이 외부 세계와의 연결을 자체적으로 차단하고 있으며 서드파티 프록시 정보원을 사용한다는 사실은 북한 해커들이 상호 공격에 덜 노출되도록 한다고도 하비비는 덧붙였다.

피싱 공격에 대한 파이어아이 보고서는 북한 공격자가 작년 남한 군사 네트워크에서 전시 비상 계획을 빼돌렸다는 뉴욕타임스 기사가 이번 주 발표된 데 잇따라 나왔다.

2016년 9월 ‘사막의 늑대(Desert Wolf)’라는 코드명으로 북한 해커들은 남한 군대의 망 분리된 컴퓨터 700대를 포함해 대략 3,200개의 시스템을 해킹하는 데 성공했다. 이 공격으로 235기가바이트의 기밀 정보가 유출됐는데, 그 중에는 한반도 전시 상황 시 북한 지도자 김정은 참수 계획도 포함돼 있었다.
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
2017년은 3분기까지 침해사고 수가 2016년 전체 침해사고 수를 앞지르는 등 급증하는 침해사고로 신기록을 세운 해입니다. 지난 한 해 동안 발생한 침해사고 중 가장 심각한 유형은 무엇이라고 생각하시나요?
기업의 개인정보 및 신용정보 유출 ex) 에퀴팩스 사태
한국을 겨냥한 북한의 사이버 공격 ex) 하나투어 등
가상(암호)화폐 탈취 위한 사이버 공격 ex) 거래소 해킹, 피싱 이메일 등
대규모 랜섬웨어 공격 ex) 워너크라이, 낫페트야
공공 클라우드 설정 오류 및 보안 미비로 인한 사고 ex) AWS, 구글 그룹스
사물인터넷 보안 미비로 인한 침해사고 ex) IP 카메라 해킹
기타(댓글로)