석연찮은 김정은, 사이버테러 위협 고조..북한 악성코드 10배 증가

김현아 2016. 2. 19. 12:22
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
7.7디도스, 3.20 테러때 사용된 것과 비슷한 악성코드 창궐개인보다는 기업 등 공격 가능성 높아사이버 인텔리전스 부족으로 테러 시기나 내용 예측 어려워

[이데일리 김현아 기자] 북한의 김정은이 대남 사이버 테러 역량을 결집하라고 지시한 것으로 전해진 가운데, 3~4월 중 대규모 사이버 테러가 발생할 수 있다는 우려가 커지고 있다.

2009년 정부기관을 상대로 한 ‘7.7 디도스 공격’이나 2013년 언론·방송·금융사를 상대로 벌어진 ‘3.20 사이버테러’가 모두 북한 핵 실험이후 1~2달 지나 발생했는데, 이번 역시 비슷하다는 의미다. 북한은 2차 핵실험(2009년 5월)과 3차 핵실험(2013년 2월) 직후 사이버테러를 감행한 바 있다.

민간 보안 전문가들에 따르면 최근 북한발로 의심되는 악성코드가 최소 5배에서 10배 정도 증가한 것으로 나타났다.

하우리 최상명 CERT 실장은 “이렇게 많이 북한 악성코드가 발견된 것은 처음”이라면서 “핵실험과 미사일 발사 이후 7.7이나 3.20, 소니픽처스 때 사용됐던 것과 유사한 악성코드가 발견되고 있다. 접속점을 보거나 프로파일링 해 보면 북한이 뿌린 악성코드임을 알 수 있다”고 말했다.

그는 “북한 의심 악성코드는 평상시에 비해 적어도 5배, 10배 정도 늘었다”며 “얼마 전 보안업체들이 만나 어떤 악성코드가 뿌려지고 있는지 서로 공유해 막기 위한 회의를 열기도 했다”고 설명했다. 지난 6일 판교 안랩 사옥에서는 한국인터넷진흥원을 비롯한 빛스캔, 안랩, 이스트소프트, 잉카, 하우리, NSHC 등의 보안전문가가 만나 주요 사이버 공격 분석정보를 공유했다.

북한이 만약 사이버테러를 감행한다면 국민 PC를 감염시켜 공격자인 좀비로 활용하는 7.7 디도스 때와는 다른 양상을 띨 전망이다. 또 모바일을 통한 악성코드 유포 가능성은 적다는 평가다.

최 실장은 “최근의 기술로는 7.7 디도스 같은 방식은 빨리 탐지돼 북한이 쓸 가능성이 낮다”면서 “국민이 타깃이 되기보다는 은행이나 항공 등 기업을 대상으로 할 가능성이 있다 .하지만 국민들도 악성코드에 감염되지 않도록 보안패치를 잘하고 백신을 까는 건 필수”라고 말했다.

그는 “2014년인가 북한으로 의심되는 모바일 악성코드가 있었지만, 이후로는 못 봤다”고 부연했다.
2013년 4월 10일 민관군 합동대응팀이 밝힌 ‘3.20 사이버 테러’가 북 소행증거 중 일부다. 북 내부에서 국내 공격경유지에 접속, 장기간 공격준비한 증거가 나타나 있다. 당시 북한은 8개월 전부터 해킹 을 준비했고 수분간 IP노출로 덜미를 잡혔다. 원격 터미널 접속 로그에서 수분간 북한 IP가노출된 것이다. 정부는 악성코드와 IP 조사 결과, 북한 정찰총국 소행으로 발표했다. 출처: 미래창조과학부
국정원의 이탈리아 감청 프로그램 구입 관련 ‘국민정보지키키위원회’에서 활동한 바 있는 큐브피아 권석철 대표도 “최근 3.20 때와 유사한 악성코드가 발견됐다”며 “위협은 분명하다”고 말했다.

위협은 고조되지만 우리나라에서 북한의 실제 공격 시점이나 테러 내용을 미리 파악하기는 어렵다는 견해도 있다.

김승주 고려대 정보보호대학원 교수는 “대규모 공격이 있기 몇 개월 전부터 해커들은 여러 조치를 취한다”며 “평상시 해킹 공격에 쓸 정보를 빼오고, 좀비PC를 심어두는 것”이라고 설명했다.

하지만 그는 “우리나라의 경우 사이버 인텔리전스 쪽이 약해 사이버 테러에 어느정도 준비가 끝났는지, 얼마나 광범위할지 등을 알기 어렵다”며 “사이버 인텔리전스가 되려면 전 세계의 동향을 보고 예측해야 하는데, 데이터량이 많은 글로벌 기업이 훨씬 유리하다. 우리는 기업들간이라도 나누고 싶어도 재산권 인식이 강해 어려운 상황”이라고 말했다.

지난 6일 안랩 사옥에서 열린 국내 사이버 보안위협 대응 유관 기관 정보공유 회의에서도 사이버 위협 인텔리전스 협력 강화 방안을 논의했지만, 미국과는 차원이 다르다는 의미다.

김 교수는 “한수원 해킹 사건 이후 지속위협(APT)공격 대응 솔루션들이 인기를 끄는데 미국 중앙정보국(CIA)이 투자한 파이어아이 같은 회사는 사이버 인텔리전스 쪽이 뛰어나 주목받는 현실”이라고 말했다.
▲사이버테러 인텔리전스 기술을 보유한 파이어아이

▲2014년 1월 정부가 북한 소행으로 추정한 신년 대북정책 설문 해킹 메일. 이 메일의 첨부파일을 열거나 내려 받으면 해당 PC에 악성코드가 심어진다. 출처: 미래부

김현아 (chaos@edaily.co.kr)

Copyright © 이데일리. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?
이데일리에서 직접 확인하세요. 해당 언론사로 이동합니다.