[단독] 북한, 악성코드 '스매싱코코넛' 유포해 해킹 비상

북한이 지난 2014년 미국의 소니 픽처스사를 해킹 공격한 이후 처음으로 ‘스매싱코코넛’(SMASHINGCOCONUT)으로 불리는 파괴력이 강한 신종 악성코드를 유포한 것으로 확인됐다고 미국의 외교 전문지 포린 폴리시(FP)가 미 국토안보부 보고서를 인용해 11일(현지시간) 보도했다. 이 매체는 ‘공무에만 사용’(For Official Use Only)이라는 제목의 이 보고서에 북한이 소닉 픽처스를 공격했을 당시에 사용한 것과 여러 가지 점에서 유사한 파괴적인 악성 코드가 지난해 12월 17일 처음으로 발견됐다는 내용이 들어 있다고 전했다. 국토안보부는 이 보고서에서 스매싱코코넛 악성 코드 유포자를 북한이라고 단정적으로 지목하지는 않았으나 기술적인 특성의 유사성을 들어 북한이 이 코드를 개발했을 것으로 추정했다고 밝혔다.

FP는 “북한이 스매싱코코넛 유포의 배후자라면 이는 북한 해킹 공격의 변화를 뜻한다”면서 “대북 경제 제재에 직면한 북한은 최근 금융 기관이나 비트코인 교환소 등을 해킹해 현금을 확보하려는 시도를 해왔었다”고 컴퓨터 보안업체인 시맨텍의 에릭 치엔 분석관의 말을 인용해 전했다. 이 매체는 북한이 2014년에 김정은 북한 노동당 위원장 암살을 소재로 한 영화 ‘인터뷰’를 제작한 소니사를 해킹 공격한 이후에 그 당시에 사용했던 악성 코드를 그동안 사용하지 않았다고 지적했다. 치엔 분석관은 “북한이 해킹을 통해 컴퓨터망에 침투해 자료를 대거 삭제하는 ‘와이퍼’로 불리는 도구를 다시 사용하고 있다”고 말했다.

치엔 분석관은 FP에 “북한의 해커가 와이퍼를 무기고에 저장해 두었다가 이를 다시 사용하는 것은 북한이 미래의 해킹 공격 준비를 하고 있고, 소니사 해킹 당시처럼 특정 자료를 대거 삭제하려는 것일 수 있다”면서 “북한이 정치적인 동기로 이같은 공격을 할 수 있을 것”이라고 말했다. 미 국토안보부는 지난달에 악성 코드 ‘샤프놋’(Sharpknot)이라는 이름의 보고서를 통해 이 와이퍼 공격에 대한 경계령을 발령했다고 이 매체가 전했다. 미 국토안보부의 한 당국자는 “지난해에 북한의 해커가 사용하는 악성 코드 종류를 이해할 수 있도록 기술적인 경고를 보낸 것이며 네트워크 운영자는 이 코드를 제거함으로써 해커가 미국의 인프라에 접근하지 못하도록 했다”고 밝혔다.

미 국토안보부는 또 다른 보고서를 통해 북한이 미국의 유틸리티 시설을 목표로 삼아 ‘스피어 피싱’(특정 목표물을 노리는 피싱 공격)용 이메일을 대량으로 발송했고, 이 메시지에는 악성 소프트웨어가 포함돼 있었다고 밝혔다. 지난해 9월 13일과 22일에 미국의 유틸리티 업체들은 ‘달라스 펫스 얼라이브’ 등의 제목으로 된 이메일을 받았다. 북한의 해커들은최소한 1개 이상의 미국 에너지 회사에 침투하는데 성공했다고 FP가 전했다. 미 국토안보부가 수집한 물증을 분석해 보면 북한의 해커가 미국의 전력 망을 차단하기 직전 상태에 이른 것은 아니라고 이 매체가 전했다. 또 북한이 미국 전력회사 컴퓨터망에 침투해 악성 코드를 심어 놓은 사례는 아직 적발되지 않았다고 FP가 보도했다.

워싱턴=국기연 특파원 kuk@segye.com