보안업체 "북한추정 해커, 국방외교 기밀 빼가"

국가 주요 부처와 기관에 대해 북한 소속으로 추정되는 해커의 기밀 유출 공격이 최근 수년에 걸쳐 계속됐다는 주장이 나왔습니다.

정보보안 업체 하우리는 북한 소속으로 추정되는 해커 조직이 지난 2011년부터 3년 동안 국가 주요 기관과 연구 기관을 상대로 정보수집을 위한 사이버 첩보 활동을 해왔다고 밝혔습니다.

이 업체는 공격을 받은 기관에는 정보 수집을 위한 악성코드가 설치됐고 일부 기밀 사항은 실제로 유출되기도 했다고 주장했습니다.

업체에 따르면 해커 조직은 주로 국방, 외교, 통일 관련 정부 부처나 관련 기관의 전·현직 원장, 연구원 등을 노린 것으로 나타났습니다.

공격은 전자우편으로 악성코드가 담긴 한글 문서 파일이나 행사 초청장을 보내는 식으로 주로 이뤄졌습니다.

특히 전자우편은 정상적인 전자우편과 구별되지 않도록 명령제어 서버를 사용해 보내 탐지가 어려웠던 것으로 분석됐습니다.

또 악성코드에 사용된 암호화 기법은 기존에 북한의 소행으로 알려진 악성코드와 상당히 비슷하고, 악성코드 개발 경로와 전자우편 명령어에 한글이 사용돼 북한 소행이 의심된다고 하우리는 전했습니다.

앞서 러시아의 유명 컴퓨터 백신 업체인 카스퍼스키랩의 한국 지사도 국내 주요 기관을 노린 사이버 스파이 활동을 발견했다며 공격 주체가 북한과 관련이 있다고 밝혔습니다.

이 업체에 따르면 사이버 스파이 활동은 'Kimsuky'로 불리며 통일부와 세종연구소, 한국국방연구원, 현대상선을 포함한 국내 주요 정부 기관과 기업을 노렸습니다.

공격 세력은 악성코드에 감염된 전자우편을 통해 자판 입력 기록 정보, 디렉터리 목록, 한글 문서를 빼간 것으로 분석됐습니다.

악성 코드에는 '공격', '완성' 등의 한국어 문자열이 포함돼 있었고, 공격자의 IP주소는 북한과 연결된 인터넷 회선이 발견된 중국 업체로 나왔다고 업체는 덧붙였습니다.

업체 관계자는 "지난 4월 3일 스파이 활동의 초기 징후를 감지했고 5월 5일에 Kimsuky 트로이목마 샘플을 발견했다"며 "국내 주요 기관을 대상으로 한 고도로 표적화된 공격"이라고 분석했습니다.