컨텐츠 바로가기

06.29 (토)

이슈 정치권 보수 진영 통합

'쿠팡 앱' 위장 공격은 '김수키' 소행... 활개 치는 北 해킹조직

댓글 첫 댓글을 작성해보세요
주소복사가 완료되었습니다
국내 앱 위장한 북한 사이버 공격 활개
다크웹서 구독형 랜섬웨어 키트 거래 활발해져
"선제적인 보안 강화 필요…공격 표면 관리(ASM) 집중"
"중국의 언론사 위장 사이트, 처음 보는 형태의 활동"
한국일보

북한 조선컴퓨터센터 내부 전경. 연합뉴스 자료사진

<이미지를 클릭하시면 크게 보실 수 있습니다>


국가정보원은 10월 한국인 2,000만 명 이상 사용하는 전자상거래 애플리케이션(앱)을 변조해 악성코드를 유포하려던 정황을 포착했다고 밝혔다. 이 앱은 전자상거래 앱 '쿠팡'으로 전해졌다. 그 배후에 북한 해킹조직 '김수키'가 있는 것으로 파악됐다.

6일 S2W 위협 인텔리전스 센터의 자료에 따르면, 국정원이 지난 10월 포착한 변조 앱은 김수키가 지난해 만든 한컴뷰어 위장앱의 악성 소프트웨어를 변종해 만들어졌다. 김수키는 미국 재무부가 최근 독자제재 대상에 추가한 해킹조직이기도 하다. S2W 보고서는 "(김수키 그룹은) 한국의 주요 포털 사이트와 앱들을 위장해 공격하고 있어 주의가 필요하다"고 강조했다. S2W는 인공지능(AI)과 알고리즘 분석 기법 등을 통합한 기술(Data Intelligence·데이터 인텔리전스)을 토대로 사이버 위협 관련 문제를 해결하는 업체다.

북한 주요 해킹그룹, 정보수집과 자산 탈취 목적에 따라 공격기법 달라

한국일보

시각물_북한 각 해킹그룹의 특성과 공격기법. 그래픽=김대훈 기자

<이미지를 클릭하시면 크게 보실 수 있습니다>


센터에 따르면, 북한 해킹조직의 수법은 날로 교묘해지고 있다. 한국은 랜섬웨어와 지능형 지속 위협(APT) 공격을 많이 받는 국가로 꼽힌다. APT는 일정한 절차나 특정 기술을 반복해 장기간 가하는 사이버 공격을 뜻한다. 일반적인 방식에 비해 횟수는 적지만 대응에 큰 비용을 초래해 보안업계에서는 심각한 위협으로 여긴다.

판교 S2W 위협인텔리전스 센터에서 만난 류소준 팀장은 "정부 주도 해킹은 정보수집을 목적으로 하고, 민간 해킹조직은 돈을 목적으로 하는 편"이라며 "반면 북한 노동당 산하 해킹조직은 정보 수집부터 금전 탈취까지 복합적으로 활동하고 있다"고 설명했다.
한국일보

김재기 S2W 위협 인텔리전스 센터장(왼쪽 사진)과 류소준 S2W 위협 인텔리전스 센터 팀장. S2W 위협 인텔리전스 센터 제공

<이미지를 클릭하시면 크게 보실 수 있습니다>


북한 해킹조직은 김수키, 라자루스, 코니, 안다리엘, 블루노로프, 스카크러프트가 대표적이다. 이 중 안다리엘은 최근 국내 방산업체들을 공격해 자료를 빼내갔다. 센터에 따르면, 안다리엘은 최근 인도 의료연구소 해킹을 시도하는 등 해외정보 수집에도 나서고 있다.

한국, 랜섬웨어 피해 많이 받아…사이버 보안의식은 '허술'

한국일보

게티이미지뱅크

<이미지를 클릭하시면 크게 보실 수 있습니다>


김재기 S2W 위협 인텔리전스 센터장은 "최근 다크웹을 통해 아예 랜섬웨어 키트나 구독형 서비스 형태로 해킹 툴을 거래하는 경우가 늘었다"며 "이제는 랜섬웨어를 직접 개발하지 않아도 사이버 공격을 할 수 있어 공격 주체가 누구인지 파악하기 더 어려워진 것"이라고 평가했다. 공격자 추적이 어려우면 대응이나 후속조치가 불안정할 수밖에 없다. 김 센터장은 "선제적인 관점에서 보안을 강화하고 피해를 입었을 경우에는 보안 커뮤니티에 이를 공개해 대비책을 마련하는 작업이 시급하다"고 강조했다. 국정원이 사이버안보 업무 규정에 '공세적 조치'를 포함한 것도 이 같은 업계 최신 동향을 반영한 조치다.

현실로 다가온 사이버 인지전…"국내 언론사 위장 사이트, 국내에선 처음 보는 사례"

한국일보

중국 언론사 위장 사이트. 국정원 제공

<이미지를 클릭하시면 크게 보실 수 있습니다>


사이버 위협은 해킹을 넘어 '인지전(cognitive warfare)' 영역으로 확장됐다. 국정원은 지난달 중국 홍보업체가 국내 '위장 언론사' 사이트 30여 개를 만들어 국내 여론 조성을 시도했다고 발표했다. S2W는 당시 다른 업체들과 함께 합동분석협의체에 참여했다.

협의체가 추적한 여러 위장사이트를 살펴봤더니 중국의 클라우드 IP서비스 업체 '텐센트'로 연결돼 있었다. 그로 인해 해당 IP 보유자인 중국 홍보업체 '하이마이(Haimai)'와 '하이준(Haixun)'의 존재를 초기에는 알 수 없었다. 류 팀장은 "일단 협의체에서 한두 달 모여 분석 작업을 했다"며 "뉴스와이어 서비스를 악용한 것이 확인됐고 홍보업체까지 추적이 가능했다"고 설명했다.

그는 "국내 언론사로 위장해 반미정서를 자극하는 이슈를 주로 언급하고 기사에 중국과 관련한 긍정적인 내용을 녹이려는 경향이 강했다"면서 "위협분석 분야에서 10년 이상 활동했지만 이런 유형은 처음"이라고 말했다.

문재연 기자 munjae@hankookilbo.com


이 기사의 카테고리는 언론사의 분류를 따릅니다.

기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
홈으로 이전 페이지로 맨 위로 모바일zum 다운로드 QR 이미지