북 추정 해킹 여전히 지속… 지능화 공격으로 정보수집

입력: 2018-07-05 18:00 이경탁 기자

폰트

기업·일반이용자 개인정보 타깃
악성 봇넷 설치 몰래 정보 빼내

김정은 북한 노동당 위원장. 픽사베이 제공

4.27 남북정상회담 이후 남북관계가 해빙기에 들어서고 있지만, 북한으로 추정되는 해킹 공격이 지속적으로 진행되고 있는 것으로 드러났다. 다만 눈에 보이는 파괴적 공격 대신 눈에 보이지 않는 지능화된 공격으로 대남 정보를 확보하는 것으로 나타났다.

5일 SK인포섹에 따르면 남북정상회담 이후 북한으로 추정되는 공격들이 정보 탈취에서 정보 수집 양상으로 변하고 있다. 기존에는 서버 정보를 탈취하는 경우가 많았지만, 최근에는 기업 정보나 일반 이용자 PC의 개인정보를 수집하는 형태로 전환되고 있다.

이는 북한이 남북관계를 고려해 공격 발원지를 쉽게 꼬리가 밟히는 방식을 더 이상 선호하지 않는 것으로 추정된다. 이재우 SK인포섹 이큐스트그룹장은 "정보 탈취는 DB 서버를 공격해 접근 권한을 무력화하고 원하는 정보를 얻는 방식인 반면, 정보 수집은 PC 등에 악성 봇넷을 설치한 뒤 몰래 정보를 빼내는 것"이라며 "정상회담 이후에도 북한 해커 그룹 히든 코브라에 의해 주로 병원과 제조시설들이 악성코드에 감염이 이뤄지고 있다"고 밝혔다.

북한의 정보수집과 함께 가상화폐거래소를 중심으로 금전 탈취 목적의 공격도 현재 진행 중이다. 최상명 하우리 CERT실장은 "정상회담 이후에도 정보 수집뿐 아니라 가상화폐거래소 및 금융권을 대상으로 금전적 이득을 위한 북한발 공격이 포착되고 있다"고 말했다. 이어 그는 "과거 DB를 직접 탈취한 인터파크, 하나투어 사례, 한수원이나 소니픽처스 같이 파괴적 디도스 공격 등은 남북 분위기상 더 이상 발생하고 있지는 않다"며 "다만 통일, 외교 및 안보, 탈북자 등을 대상으로 한 첩보 목적의 정보수집은 현재 진행 중"이라고 설명했다.

실제 이스트시큐리티에 따르면 '금성121' 그룹이 공식적인 '남북이산가족찾기 전수조사' 내용으로 사칭한 해킹 이메일을 통해 APT(지능형지속위협) 공격을 수행하고 있는 것으로 추정된다. 금성 121은 북한과 연관돼있는 것으로 보안 전문가들은 추정하고 있다. 북한의 주력 사이버부대는 주로 금성 1, 2 중학교에서 고도의 훈련을 받은 요원들이 121국에 배치돼 활동한다.

이경탁기자 kt87@

서울특별시 중구 새문안로22
☎ 02) 3701-5500
등록번호 : 서울 아01699
등록일자 : 2011.07.15
발행일 : 2000.03.03
발행인/편집인 : 박학용

북 추정 해킹 여전히 지속… 지능화 공격으로 정보수집

이 시간 핫클릭

핫 이슈!