보안사고는 '일상'입니다. 이번 주 국내외에서 발생한 주요 사이버 위협과 사건·사고를 소개합니다. 최신 소식이 궁금하다면, '위클리 쓰렛(Weekly Threat)'을 확인해 보세요. <편집자주>

[디지털데일리 김보민기자] 미국 보안전문지 프랙(Phrack)이 제기한 '한국 정부시스템 해킹 의혹'이 사실로 드러났다. 프랙은 북한 해킹조직 김수키를 배후로 지목했지만, 국가정보원은 주체를 특정할 근거가 부족하다고 밝혔다.

정부시스템 보안 취약점이 공개된 만큼 다음 주 국정감사에서 관련 질의가 쏟아질 전망이다. 이번 주 과학기술정보방송통신위원회와 정무위원회 국감에서 해킹은 주요 주제가 아니었다. 인공지능(AI), 국가정보자원관리원 화재, MBK파트너스 홈플러스 사태 책임론에 밀려 해킹 대응책을 주문하는 목소리는 많지 않았다.

이러한 분위기 속, 북한 연계 해커는 공격을 고도화하며 움직였다. 북한 연계 해커그룹은 신규 기법을 활용해 암호화폐를 탈취하고 민감정보를 수집한 것으로 나타났다.

◆ 공무원 업무시스템에 인증체계까지 공격…보안 전문가 "전수조사 필요"

행정안전부는 17일 정부세종청사에서 열린 브리핑에서 "올해 7월 중순 국가정보원을 통해 외부 인터넷 PC에서 정부원격근무시스템(G-VPN)을 이용해 업무망인 온나라시스템에 접근한 정황을 확인했다"고 밝혔다. 동일한 사안을 고발한 프랙 보고서가 공개된 지 두 달 만에 입을 연 것이다. 해킹 피해가 의심되는 행정전자서명(GPKI) 인증서는 총 650명분이다.

국가정보원도 자료를 통해 온나라시스템을 비롯한 정부 행정망을 노린 해킹 정황을 확인했다고 설명했다. 조사 결과, 해커는 공무원 GPKI 인증서와 패스워드를 확보한 뒤 인증체계를 분석해 합법적 사용자로 위장하고 행정망에 접근했다. 이후 국내외 인터넷프로토콜(IP)과 인증서를 이용해 G-VPN을 통과한 뒤 온나라시스템에 접속했다.

프랙은 이번 해킹의 배후로 북한 김수키(Kimsuky) 조직을 지목했다. 이에 국정원은 "GPKI 인증서 절취 사례 및 공격방식 등을 종합 분석 중"이라며 "현재까지 주체를 단정할 만한 기술적 증거는 부족한 상황"이라고 말했다.

보안 취약성이 드러난 만큼 전면적인 조사가 필요하다는 의견도 제기됐다. 김승주 고려대 정보보호대학원 교수는 "국가사이버위기관리단을 통해 전수조사를 실시하고 프랙 보고서에 언급된 부분 외 다른 백도어 존재 여부까지 확인해야 한다"고 강조했다.

◆ 송경희 신임 개인정보위원장까지 불렀지만…첫발 못 뗀 '해킹 국감'

이번 주 국감에 제기된 주요 주제는 해킹이 아니었다. "해킹 국감이 될 것"이라는 예상을 빗나간 결과다.

과방위는 국감 첫날인 13일 배경훈 부총리 겸 과학기술정보통신부 장관에게 AI와 국정자원 화재에 대한 질문을 쏟아냈다. 여야는 이재명 대통령이 국정자원 화재 사태를 수습하는 과정에서 JTBC 예능 '냉장고를 부탁해'를 촬영한 것이 적절하냐고 물으며 대치를 이어가기도 했다.

정무위는 14일 개인정보보호위원회 대상 국감을 열었지만, 현장에 참석한 송경희 신임 위원장을 향한 질문은 많지 않았다. 송경희 위원장에게 발언 기회가 주어진 순간은 인사말, 그리고 명함관리 앱 리멤버앤컴퍼니를 둘러싼 개인정보 국외 이전에 대한 질의가 나왔을 때였다. "시간이 없으니 서면으로 질의서를 보내겠다"는 의원도 있었다.

대신 홈플러스 사태를 두고 공정위와 증인 및 참고인을 향한 질문이 쏟아졌다. 공정위에 가려진 건 개인정보위뿐만이 아니다. 이날 정무위는 KT와 롯데카드 대표까지 소환했다. 현장에는 올해 대형 보안사고를 낸 KT와 롯데카드 관계자들이 참석했지만 관련 질의는 한 건뿐이었다. 조좌진 롯데카드 대표는 연말까지 정보보호 투자 계획을 보고하겠다고 밝혔고, 김영섭 KT 대표는 피해를 입은 고객에게 사과했다.

◆ 암호화폐 훔치는 北해커, 신규 기법 '이더하이딩' 활용

구글위협인텔리전스그룹(GTIG)은 17일 북한 연계 해커그룹 'UNC5342'가 신규 기법을 활용해 암호화폐를 탈취하고 민감정보까지 훔치고 있다고 발표했다. 신규 기법 명칭은 '이더하이딩'이다.

이더하이딩은 퍼블릭과 탈중앙화 블록체인을 활용해 악성코드를 은폐하는 기법이다. 자바스크립트(JavaScript) 페이로드 형태 악성코드를 이더리움 등 퍼블릭 블록체인 계약에 삽입하는 방식이다. 삽입에 성공할 경우, 제거하기 어려운 명령제어(C2) 인프라로 악용될 수 있다.

공격자는 다단계 악성코드 감염 절차를 통해 윈도(Windows), 맥OS(macOS), 리눅스(Linux) 등 다양한 운영체제에 영향을 미쳐 피해자 시스템을 침해했다. 또한 공격에 사용한 악성코드를 변경 불가한 블록체인에 저장하고, 이를 '읽기 전용'으로 불러와 익명으로 명령을 지속 제어했다. 필요에 따라 페이로드를 유연하게 변경할 수도 있었다.

로버트 월레스(Robert Wallace) 구글 클라우드 맨디언트 컨설팅 리더는 "공격 기술 발전은 위협 환경이 격화되고 있다는 사실을 보여준다"며 "국가 지원 위협 그룹은 수사당국 조치에 맞서, 새로운 작전에 맞게 손쉽게 변형할 수 있는 악성코드를 배포하는 데 신기술을 활용하고 있다"고 평가했다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -