북한, 또다시 사이버테러 시도했다

지난 3월20일 금융업체 및 방송사에 대대적 악성코드 공격을 감행한 북한이 2개월여 만에 또다시 악성코드 침투를 시도했다. 이번에 악성코드가 노린 대상은 정부 기관으로 보인다.

3일 관계당국과 보안업체들에 따르면 지난 주말 북한이 제작ㆍ유포한 것으로 보이는 악성코드 3, 4종이 국내에 침투한 사실이 발견돼 당국이 차단 조치했다.

정부 관계자는 "보안업체들이 5월31일 악성코드를 발견해 신고했고 이에 따라 지난 주말 내내 차단 조치를 취했다"고 말했다. 그는 "악성코드 분석 결과 일부 변형되기는 했지만 3.20 사이버테러 때 사용된 것과 제작 기법, 작동 방식 등이 동일했다"면서 "일단은 같은 (북한) 조직의 소행으로 판단된다"고 말했다. 정부는 지난 3.20 사이버테러에 대해 북한 소행이라고 공식 발표했다.

이번에 발견된 악성코드는 내부에 남아 있는 제작일자가 대부분 5월30일과 31일로 돼 있으며, 하드디스크를 파괴하는 등의 공격 기능은 없고 정보를 외부로 빼내는 기능만 갖고 있다. 어떤 정보를 빼냈는지는 아직 확인되지 않고 있지만, 빼낸 정보를 미국에 있는 서버로 전송하도록 돼 있는 것으로 전해졌다. 보안업체 관계자는 "일종의 정찰용 악성코드"라고 말했다.

지난 3.20 사이버테러 때도 정찰용 악성코드가 우선 침투해 피해 기업의 전산망 취약점을 파악한 뒤 전송했고, 이를 통해 2차 공격용 악성코드가 침투했다. 따라서 이번 악성코드도 후속 공격을 위한 예비 정찰용일 가능성이 높다. 보안업체 관계자는 "추가 공격 가능성은 전적으로 공격자 의지에 달렸다"며 "차단조치만으로 테러를 막을 수 있는 건 아니며 변형된 추가 악성코드로 공격을 할 수도 있다"고 설명했다.

하지만 금융기관과 공영방송을 초토화시켰던 3.20 테러 때와 달리, 이번 악성코드가 노린 대상은 정부기관으로 보인다. 정부 관계자도 "대상이 민간은 아닌 것 같다"고 말해 정부기관이 타깃이 되었음을 시사했다. 악성코드가 유포된 사이트도 정부 관계자들이 접속하는 사이트로 알려졌다. 한 보안업계 관계자는 "널리 알려진 사이트가 아닌 정부 관계자들이 접속할 만한 사이트를 통해 악성코드가 유포된 것으로 안다"고 말했다.

이 악성코드는 최신 백신 소프트웨어로 차단할 수 있다. 정부 관계자는 "보안업체들과 공조해 최신 백신 소프트웨어에 해당 악성코드 차단 기능을 추가했다"며 "하지만 변종이 나타날 수 있으니 주의가 필요하다"고 당부했다.

최연진기자 wolfpack@hk.co.kr

김현수기자 ddackue@hk.co.kr