北 해커 조직 김수키, 韓 정부 기관 등에 해킹 이어와
은하수·라자루스 등도 광범위한 사이버 공격 감행
SKT 해킹 사태 배후에 국가 세력 있다?

북한 해커 조직이 한국 정부 기관의 내부 시스템 등에 사이버 공격을 감행했다는 소식이 전해졌다. 곳곳에서 소프트웨어(SW) 공급망을 정밀 타깃으로 삼은 APT(지능형 지속 위협) 공격이 본격화하며 국내 보안 생태계에 경고등이 켜지는 양상이다.

김수키의 사이버 공격 정황

지난 8일(현지시간) 미국 해킹 잡지 프랙(Phrack)은 이날 발행한 40주년 기념호에서 ‘북한의 지능형 지속 공격(APT Down: The North Korea Files)’라는 제목의 보고서를 인용, 북한 정찰총국 산하 해커 조직 ‘김수키’가 한국 정부 기관과 통신사를 대상으로 동시다발적인 해킹을 이어온 정황이 포착됐다고 보도했다. 미 비영리 단체 디도시크릿츠가 이달 7~10일 샌프란시스코에서 열린 세계 최대 해킹 대회 ‘데프콘’에서 공개한 해당 보고서는 ‘Saber’와 ‘cyb0rg’라는 화이트해커가 공동 작성했다.

보고서에 따르면 지난 6월 대한민국 행정안전부와 외교부, 국군방첩사령부, 국내 통신사의 내부 시스템 접속 계정·키가 방대한 양으로 저장된 데이터 덤프(시스템 상태나 데이터 내용을 그대로 떠 저장한 파일)가 발견됐다. 보고서는 해당 데이터 덤프가 김수키 소속 해커가 사용한 가상 머신(VM)과 스피어 피싱 공격용으로 사용한 VPS(가상 개인 서버)에서 유출됐다고 주장했다. 다크웹에 일부 공개된 덤프 파일에는 공격자가 사용한 백도어와 공격 도구의 소스 코드, 한국 정부 기관에서 탈취한 것으로 보이는 민감 정보 등이 다수 포함돼 있었다. 한국 정부의 주요 이메일과 플랫폼 등도 공개됐으며, 공격자가 올해까지도 정부 사이트에 드나들었던 정황도 포착됐다.

이에 더해 국방부 방첩사령부(DCC), 외교부, 대검찰청 등 기관을 대상으로 한 로그인 시도와 피싱 기록도 발견됐다. 행안부의 경우 정부 내부 네트워크 시스템인 ‘온나라 시스템’이, 외교부의 경우 이메일 플랫폼이 각각 공격 대상이 된 것으로 확인됐다. 아울러 공격자는 한 국내 통신사에 보안 솔루션을 제공하는 회사를 해킹한 뒤 통신사 내부 침투를 시도했고, 또 다른 통신사의 원격 제어 서비스에 대한 인증서와 개인키를 탈취했다.

北 산하 세력, 무차별적 APT 공격 지속

북한 해킹 조직들의 공격은 정부 기관을 넘어 한국 사회 전반에서 막대한 혼란을 야기하고 있다. 이들 조직이 국내 기업과 기관, 오픈소스 개발자 커뮤니티 등을 겨냥해 소프트웨어 제작·배포 과정 자체를 침투 경로로 삼는 정교한 사이버 공격을 감행하고 있기 때문이다. 일명 ‘APT37(은하수)'의 'RoKRAT' 변종 공격이 대표적인 예다. 이 공격은 윈도 바로가기(.lnk) 파일처럼 보이는 문서를 이용해 감염을 유도한다. .lnk는 단순 문서처럼 보이지만 실제로는 자동 실행 명령어를 삽입할 수 있는 윈도 전용 파일 포맷으로, 사용자가 파일을 클릭하는 순간 공격자가 심어둔 명령이 실행된다.

여기에 'PowerShell'이라는 이름의 윈도 내장 자동화 명령 도구를 통해 외부 명령을 실행시키고, 이미지처럼 보이는 파일 안에 명령어를 숨기는 '스테가노그래피(Steganography)' 기법까지 동원된다. 해당 방식은 악성 행위의 흔적을 숨겨 감염 사실 자체를 탐지하기 어렵게 만든다. 이후 공격자는 원격 코드 실행(RCE: Remote Code Execution)을 통해 추가 악성코드를 내려받고 감염된 시스템에서 키로깅, 화면 캡처, 파일 탈취 등 정보 수집형 APT 기능을 수행하게 된다.

APT38로 알려진 라자루스 조직 역시 최근 오픈소스 개발 생태계를 활용해 침투 시도를 이어가고 있다. 깃허브(GitHub)나 패키지 저장소에 정상 라이브러리로 위장한 악성 패키지를 업로드한 뒤, 이를 설치한 개발자 기기를 감염시키는 방식이다. 깃허브는 개발자들이 소스코드를 저장하고 협업할 수 있도록 돕는 글로벌 오픈소스 플랫폼이다. 깃허브를 통해 단일 개발자를 감염시키면 전체 커뮤니티 또는 조직의 내부망으로 공격 범위를 확장할 수 있는 셈이다.

SKT 해킹 사태 원흉도 北?

일각에서는 올해 업계를 발칵 뒤집었던 SK텔레콤(SKT) 해킹 사태의 배후에도 북한이 있을 것이라는 분석이 제기된다. 한 보안 전문가는 “투자대비수익률(ROI)를 따지는 해킹 조직이 SK텔레콤과 같은 대기업을 장기간 공격했다는 점에서 국가 배후 해킹 조직일 가능성이 높다”며 “북한 해킹 조직은 SK네트웍스서비스 등 SK계열사 4곳을 지난 2014년 7월부터 1년 넘게 잠복해 다량의 악성코드를 설치해 해킹한 전례가 있는 만큼, 의심할 여지는 충분하다"고 짚었다.

다만 SKT 해킹 사태의 원흉이 중국일 것이라는 의견도 존재한다. '닮은 꼴' 사건인 LG유플러스 해킹 사고가 중국 측 공격으로 인해 벌어졌기 때문이다. 미국 워싱턴포스트(WP)에 따르면, 지난해 2월 중국 공안부(MPS)와 계약을 맺은 중국 보안기업 아이순(i-Soon)이 8년간 3테라바이트(TB) 규모의 LG유플러스 통화 기록을 해킹했다는 소식이 전해졌다. 아이순은 MPS에 서비스를 제공하는 APT 전문 업체로 알려져 있다. 실제 미국 국무부는 지난 3월 아이순 직원 8명을 기소하면서 중국 MPS와 국가안전부(MSS)가 해킹을 목적으로 아이순 등 민간 기업과 계약업자로 구성된 광범위한 네트워크를 활용하고 있다고 밝힌 바 있다.

글로벌 보안 기업들도 국내 통신사 해킹 사건에 중국 해킹 조직이 수차례 연루됐다는 점에 주목하고 있다. 미국 사이버보안기업 트렌드마이크로는 지난달 공개한 보고서에서 중국의 APT 그룹 '레드멘션(Red Menshen)'이 지난해 7월과 12월 국내 통신사에 BPF도어 공격을 가했다고 발표한 바 있다. 대만 사이버 보안 기업 'TeamT5' 역시 중국과 연계된 APT 해킹 그룹이 지난 3월 말부터 이반티 VPN 장비의 취약점을 통해 한국 등 12개국에서 통신 등 여러 산업을 공격했다고 전했다. 해당 공격에 사용된 BPF도어 역시 레드멘션이 개발한 악성코드라는 전언이다.