북한 소속으로 추정되는 해커 조직이 3년간 국가 주요 기관과 연구 기관에 악성코드를 설치하고, 정보를 수집해온 것으로 드러났다.
러시아의 글로벌 컴퓨터 백신업체 '카스퍼스키랩' 한국지사는 12일 북한 관련 집단이 국내 주요 기관에 대해 사이버 스파이 활동을 한 것을 발견했다고 공개했다.
카스퍼스키랩이 발견한 정보유출 기관은 통일부, 세종연구소, 한국국방연구원, 현대상선 등 11곳. 해커들은 먼저 악성코드를 뿌렸으며 이에 감염된 전자우편을 통해 자판(키보드) 입력 기록 정보, 디렉터리 목록, 한글 문서 등을 빼갔다고 카스퍼스키랩측은 분석했다. 악성코드에는 '공격''완성'처럼 한국어 문자열이 포함됐고, 공격자의 IP주소가 북한과 연결된 인터넷 회선이 발견된 중국 업체로 나왔기 때문에, 북한 해커 집단의 소행으로 추정된다고 밝혔다.
카스퍼스키랩 관계자는 "지난 4월3일에 스파이 활동의 초기 징후를 감지했고 5월5일엔 'Kimsuky 트로이목마' 샘플을 발견해 추적해 왔다"며 "이 코드는 현재 사용자가 열어보고 있는 아래한글 문서를 그대로 가져가는 특징이 있다"고 말했다.
이와 관련, 국내 정보보안업체인 하우리도 북측으로 추정되는 해커 조직이 2011년부터 3년 동안 국가 주요 기관과 연구 기관을 상대로 정보 수집을 위한 사이버 첩보활동을 해왔다고 밝혔다.
카스퍼스키랩이 파악한대로, 해커들은 국방, 외교, 통일 관련 정부 부처나 관련 연구 기관의 전ㆍ현직 원장, 연구원, 장관 후보자, 자문 교수 등에게 한글문서 파일이나 초청장을 가장한 전자우편(이메일)을 보내 문서를 열어보면 악성코드가 설치되도록 했다. 악성코드가 설치된 PC에서는 사용자의 주요 문서 등 정보가 유출됐으며, 3년간 수백 건의 정보가 빠져 나간 것으로 확인됐다. 유출정보 중에는 일부 기밀 사항도 포함됐다고 하우리는 덧붙였다.
최상명 하우리 선행연구팀장은 "해커들은 주로 전ㆍ현직 고위직원에게 이메일을 보내 악성코드를 심었는데 정보가 많고 PC 제어에 익숙지 않기 때문인 것으로 보인다"며 "이메일을 통한 감염 성공률은 70%에 달했고 2년 동안 자신의 PC에 악성코드가 깔려 정보가 새어나가고 있다는 사실을 모른 경우도 있다"고 말했다.
이에 대해 정부 당국자는 "하우리가 분석한 35개의 악성프로그램을 분석한 결과 국정원과 국방부를 포함한 해킹 대응기관이 이미 알고 있는 사항"이라고 확인했다.
강희경기자 kstar@hk.co.kr
기사 URL이 복사되었습니다.
댓글0