Home > 전체기사
6.25 전쟁 70주년-6.25 사이버테러 7주년, 사이버상 아직도 살얼음판
  |  입력 : 2020-06-25 11:29
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
북한 추정 라자루스, 최근 국내 커뮤니티 등 불특정 다수 노린 공격 정황 포착

[보안뉴스 원병철 기자] 6.25 전쟁 70주년이면서 2013년 6월 25일 발생한 ‘6.25 사이버테러’ 발생 7주년을 맞은 오늘, 아직까지 특이점은 없다. 한 탈북민 단체의 대북 전단 살포와 북한의 삐라 살포 위협 및 대남 확성기 등 날선 대응으로 한동안 살얼음판 같던 정국이 북한 김정은 국무위원장의 대남 군사행동계획 보류로 관망세로 접어들었다.

[이미지=utoimage]


하지만 사이버상에서는 아직 안심할 단계가 아니다. 북한으로 추정되는 몇몇 해킹그룹이 한국의 유명 커뮤니티에서 악성파일을 유포하고, 청와대 보안 메일을 사칭하는가 하면, 대북 전문가 및 탈북자를 대상으로 한 사이버 스파이 행위를 지속적으로 감행하면서 전운이 감돌고 있다. 특히, 2020년 6월 25일은 6.25 전쟁 70주년이면서 6.25 사이버테러 7주년이기 때문에 북한의 도발 가능성이 다른 때보다 높다.

2013년 6월 25일 발생한 6.25 사이버테러는 청와대와 국무조정실 홈페이지 해킹을 시작으로 한국언론재단과 당시 새누리당(현 미래통합당)의 서울·경기·인천·부산·울산·광주·강원·경북 등 8개 시도당 홈페이지가 해킹을 당했던 사건이다. 또한, 안행부(현 행안부)·미래부(현 과기정통부)·통일부 등 정부당국의 홈페이지도 접속 장애가 발생했고, 스포츠서울과 건설경제, 이투데이 등 언론사의 홈페이지 서버가 일시적으로 다운됐으며, 조선일보 홈페이지도 접속 장애가 나타난 것으로 알려졌다.

특히 지난 2014년 미국 소니픽처스 해킹사건에 사용됐던 악성코드가 6.25 사이버테러때 사용한 것과 상당수 일치하다는 <보안뉴스>의 단독 보도처럼 꾸준하게 공격이 이어졌다. 이와 관련 미국 FBI는 소니픽처스 해킹사건의 배후로 북한을 지목했고, 미 법무부는 라자루스 그룹 소속으로 알려진 북한 해커 박진혁을 소니픽처스 해킹 등의 혐의로 기소했다.

다행히 아직까지는 특별한 정황은 파악되지 않았다. 하지만 보안전문가들은 안심할 단계가 아니며, 최근 정황으로 볼 때 라자루스 등 북한 추정 해킹그룹들이 이미 공격할 수 있는 준비를 다 마쳤을 것이라고 봤다.

그동안 북한 추정 해킹그룹은 정부 요인이나 탈북민단체 관계자 등 ‘특정인’을 노린 APT(Advanced Persistent Threat, 지능형 지속 위협) 공격이나 탈북단체 홈페이지 등 특정인들이 자주 방문하는 웹사이트 등에 함정을 파놓는 ‘워터링 홀(Watering Hole)’ 공격을 펼쳐왔다.

그런데 최근 2~개월간 새로운 공격 패턴이 눈에 띄기 시작했다. 우선 공격의 주체도 주로 한국을 노리던 ‘김수키(kimsuky)’ 그룹이나 ‘금성121(Geumseong121)’ 그룹이 아닌 미국과 영국 등 유럽을 타깃으로 외화벌이에 집중하던 ‘라자루스(Lazarus)’ 그룹이다. 라자루스는 미국 소니픽처스를 시작으로 2016년 방글라데시 중앙은행과 2018년 칠레은행 등 은행과 국내외 암호화폐 거래소 등 실제 돈을 벌 수 있는 공격을 해온 것으로 알려졌다. 또한, 2017년 전 세계를 강타했던 ‘워너크라이(WannaCry) 랜섬웨어’ 사건의 배후로도 지목받고 있다.

이러한 라자루스가 최근 2~3개월간 국내 웹사이트를 통한 공격에 나선 것으로 확인됐다. 4월 1일 인천시 감염병관리지원단을 사칭한 이메일 공격이나 이력서를 사칭한 공격이 진행됐다. 또 최근에는 특정 네이버 카페를 대상으로 한 공격과 IT 인터넷 커뮤니티의 자료실을 통해 ‘불특정 다수’를 대상으로 한 광범위한 공격을 펼치기도 했다.

이와 관련 이스트시큐리티 문종현 시큐리티대응센터장은 “특정인을 대상으로 한 공격이 아닌 불특정 다수를 노린 공격은 금전적 이익을 위한 일반적인 사이버공격일수도 있지만, 반대로 특정인이 자주 방문할만한 웹사이트에서 불특정 다수를 대상으로 한 공격을 한 후 특정인이 걸리도록 하는 방식의 공격일수도 있다”고 설명했다. “마치 광어가 먹고 싶은 사람이 작살을 들고 직접 광어를 잡을 수도 있지만, 그물을 던져 많은 물고기를 잡은 후에 그중에서 광어만 꺼내 먹을 수도 있는 것처럼, 이번 공격은 여러 의미가 담겨 있습니다.”

특히, 문종현 센터장은 이번 공격이 특정인을 대상으로 한 공격일 수도 있으며, 돈벌이를 위한 단순 공격일 수도 있다고 설명했다. “혹은 또 다른 공격을 위한 거점 마련도 될 수 있습니다.”

최근 남북관계가 시시각각 변화하고 있는 상황에서 북한 추정 공격그룹의 움직임이 심화되고 있는 지금, 정부와 보안업계는 사이버상의 움직임에 촉각을 곤두세우고 있다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)