北, 국내 금융보안업체 해킹..사이버테러 시도

[머니투데이 김종훈 기자]

컴퓨터사진

국내 금융정보보안업체의 '코드서명'을 해킹한 사건은 북한 해킹조직의 소행이었던 것으로 결론이 났다. 이 조직은 해킹한 코드서명을 이용해 주요 전산망을 마비시키려했던 것으로 드러났다.

코드서명은 기업이 프로그램을 제작·배포할 때 위조나 변조되지 않았음을 확인해주는 일종의 전자서명이다.

개인정보범죄 정부합동수사단(단장 손영배 부장검사)은 북한 해킹조직이 금융정보보안업체 I사에서 빼돌린 코드서명으로 국세청과 서울시청 등 10여개 기관 컴퓨터에 악성프로그램을 유포한 사실을 확인했다고 31일 밝혔다.

합수단에 따르면 이 조직은 지난해 11월부터 지난 1월까지 I사의 서버에 26회 접속해 악성프로그램으로 감염시켰다. 악성프로그램이 이 서버에 접속한 I사 직원의 컴퓨터 69대로 전파되자 조직은 컴퓨터들을 해킹해 코드서명이 담긴 전자인증서를 빼돌렸다.

해킹조직은 코드서명을 가로채기 위해 악성프로그램을 이메일에 첨부한 뒤, '남북통일에 대함'이라는 제목을 달아 I사 직원의 사내 계정으로 발송하기도 했다. 이후 이 조직은 I사에서 빼낸 코드서명을 악성프로그램에 첨부해 이 프로그램이 I사에서 만든 정상프로그램인 것처럼 위조했다

이 프로그램은 저장 정보를 탈취하거나 다른 악성프로그램의 추가 설치를 가능하게 하도록 제작됐다. 해킹조직은 학술단체가 운영하는 서버에 이 프로그램을 심었으며 이 서버에 접속한 10여개 기관 컴퓨터 19대가 감염된 것으로 파악됐다. 합수단 관계자는 "북한 해킹조직이 국내 주요 전산망을 마비시키려 한 사이버테러로 추정된다"고 설명했다.

합수단은 "I사의 코드서명이 탑재된 악성프로그램을 발견했다"는 백신업체 안랩의 제보를 시작으로 지난 2월 수사에 착수했다. 이후 I사 컴퓨터 70여대, 감염된 서버, 이메일 등을 정밀 분석한 결과 I사 서버에 북한 소재 IP가 접속한 사실을 확인했다. 또 악성프로그램을 제어하는 서버 도메인에 북한 영어명칭의 약자인 'DPRK'가 포함된 점 등을 통해 해킹이 북한 조직의 소행임을 확인했다.

합수단은 위조된 코드서명을 전부 폐기하고 주요 백신업체가 해당 악성프로그램 관련 업데이트를 시행하도록 조치했다. 합수단 관계자는 "사건 발생 직후 관련 기관과 적극 대처해 공공기관 내부정보 유출 등의 추가피해는 발생하지 않았다"고 말했다.

김종훈 기자 ninachum24@mt.co.kr

<저작권자 ⓒ '돈이 보이는 리얼타임 뉴스' 머니투데이, 무단전재 및 재배포 금지>