보안 업데이트하니 악성코드가? 진화하는 北 해커 심리전

북한이 인민군 창건일(건군절) 75주년인 8일 평양 김일성광장에서 열병식을 개최했다고 노동당 기관지 노동신문이 9일 보도했다. 대형 인공기와 빨간 물결이 광장을 가득 메우고 있다. /사진=평양 노동신문=뉴스1

북한이 배후로 추정되는 해킹조직이 KISA(한국인터넷진흥원) 보안 업데이트 등 정상 설치 프로그램으로 위장해 악성코드를 유포하고 있는 것으로 나타났다. 한미 정상이 전략적 사이버안보 협력 문서를 채택하고 합동주의보를 발령하는 등 보안 의식이 높아지자 사회공학적 해킹의 일환으로 보안 프로그램을 공격에 악용한 것으로 보인다.

11일 NCSC(국가사이버안보센터) 합동분석협의체에 따르면 해킹조직은 ‘KISA-Security-Upgrade’라는 이름의 파일을 유포했다. 이 파일을 실행하면 사용자 PC 시작프로그램에 자동으로 등록돼 PC를 시작할 때마다 자동으로 감염 시스템 정보를 수집해서 공격자 서버로 전송한다.

합동분석협의체는 해킹조직이 KISA 보안 업데이트 파일 외에도 윈도 업데이트, 브라우저, 상용 SW(소프트웨어) 설치파일 등으로 위장해 악성코드를 유포할 가능성이 있다고 경고했다. 그러면서 공식 홈페이지를 통한 파일 다운로드를 권고하는 한편 웹 서핑 중 브라우저를 통해 자동으로 다운로드된 파일 실행이나 파일 공유 사이트 등의 경로로 파일을 내려받는 것을 지양해 달라고 당부했다.

해킹조직의 이같은 공격은 최근 한미 정부가 사이버공격에 대한 제재 수위를 강화하고 있기 때문인 것으로 보인다. 한미 정부는 지난 2일 국가정보원·경찰청·외교부와 미 FBI·국무부·국가안보국 이름으로 북한 해킹조직 김수키의 스피어 피싱 공격과 관련한 합동 보안 권고문을 공개했다. 북한 해킹조직의 사회공학적 해킹이 늘어나 경각심을 높이기 위한 차원에서다.

당시 한미 정부는 북한 해킹조직이 주로 기자, 학자 또는 대북정책 그룹과의 연관성을 가진 개인을 사칭해 이메일을 통한 스피어 피싱 공격을 수행한다고 밝혔다. 합동 보안 권고문에 따르면 북한 해킹조직은 보도자료를 사칭해 악성코드를 배포하거나 이력서, 뉴스 설문지, 외교/안보 관련 문서 등으로 위장해 악성코드를 유포했다.

박현준 경찰청 국가수사본부 안보수사국 첨단안보수사계장이 7일 서울 서대문구 경찰청에서 북한 해킹메일 유포사건 관련 수사 상황을 브리핑하고 있다. /사진=뉴스1.

북한 해킹조직의 이같은 사이버공격은 사회공학적 해킹 기법으로 불린다. 시스템의 보안 취약점을 노린 기술적 해킹이 아니라 사람의 사회적·심리적 요인을 악용해 권한 탈취를 노리는 해킹 기법이다. 사회공학적 해킹 기법은 정보 접근 권한을 획득하기 때문에 가장 빠르게 가장 많은 양의 정보를 빼낼 수 있다고 알려져 있다.

이러한 기법은 코로나19(COVID-19)를 기점으로 급증했다. 인터넷 암시장인 다크웹에서 피싱을 위한 인프라와 서비스를 제공하는 이른바 피싱 키트 판매가 성행하면서 피해 규모가 양적·질적으로 확대된 것이다. 공격자들은 사람들이 코로나19로 집에서 PC를 사용하는 시간이 늘어났다는 점을 집중적으로 공략했다.

사회공학적 해킹은 재난과 장애 등 사회적으로 민감하고 관심도가 큰 이슈가 발생할 때마다 기승을 부렸다. 2022년 경기도 판교 SK C&C 데이터센터 화재로 ‘카카오 먹통’이 발생하자 ‘카카오톡 설치파일’로 위장한 악성코드가 등장했고 이태원 참사 사고가 발생하자 ‘서울 용산 이태원 사고 대처상황(06시)’이라는 제목의 가짜 공문서 위장 공격이 나타났다.

한미 양국은 지난 4월27일 정상회담에서 북한 해킹조직의 사이버공격이 핵·미사일 개발자금을 조달하려는 목적이라고 판단해 한미동맹을 사이버 공간까지 확장하기로 했다. 양국은 사이버위협 정보공유를 바탕으로 사이버훈련, 인재양성 등 현재의 협력을 강화하는 한편 사이버공간에서 악의적인 행위를 차단하기 위한 다양한 종류의 대응수단을 개발하기로 협의했다.

보안업계 관계자는 “국내 기관을 겨냥한 해킹조직의 사이버공격이 늘어나고 있는 추세”라며 “정부와 보안업계가 방어에 힘쓰고 있지만 개인이 경각심을 가지고 주의하는 게 가장 중요하다”고 말했다. 아울러 “첨부파일이 있는 메일은 내려받을 때 주의하고 되도록이면 공식 홈페이지에서 다운로드하는 것이 좋다”며 “출처가 불분명한 파일은 아예 열어보지 않아야 한다”고 말했다.