지난해 11월 20일~23일 윤석열 대통령의 영국 국빈방문 중 해킹 사실 드러나
대통령실 행정관, 업무 신속성 위해 네이버 메일 사용...북한 해커, 계정정보 확보해 해킹
해킹 당한 행정관, 업무 규정 위반 소지...보안성 검토 받고 승인되면 암호화 후 외부로 전송해야
[보안뉴스 김경애 기자] 신속한 업무 처리를 위해 보안을 간과한 대통령실 행정관의 업무 처리가 북한의 해킹 공격으로 이어져 파장이 확대되고 있다. 일각에서는 대통령실이 뚫린 것 아니냐는 의심의 목소리도 나오고 있지만, 그건 사실이 아닌 것으로 파악됐다. 이번 사건으로 인해 공무원, 공공기관 관계자들의 보안인식 제고와 내부 보안관리 강화 목소리가 커질 것으로 보인다.
[이미지 = gettyimagesbank]
북한의 대통령실 행정관 이메일 해킹은 윤석열 대통령이 지난해 11월 20~23일 영국 국빈방문 중 사실이 드러났다. 당시 순방 중이던 윤 대통령이 행정관의 해킹 피해 사실을 보고 받은 것으로 전해졌다.
당시 행정관은 산업통상자원부에서 대통령실로 파견 나온 공무원으로, 정부 시스템에 접근해 대통령 순방 일정 등을 체크한 것으로 알려졌다. 이 과정에서 행정관이 업무 신속성을 위해 네이버 메일을 사용했는데, 평소 정부 인사를 호시탐탐 노리던 북한 해커가 행정관의 아이디와 패스워드 등 계정정보를 탈취하면서 대통령실 자료가 외부로 유출된 것으로 파악됐다.
유출 사실은 당시 국가정보원에 의해 역추적돼 드러난 것으로 알려졌다. 익명을 요청한 정부 관계자는 “주로 활동하는 북한 해커조직을 모니터링하던 중 대통령 순방 일정 등 정보가 포착돼 역추적한 결과 네이버 메일을 통해 유출됐고, 당시 순방에 동행했던 행정관 메일로 확인된 것으로 알고 있다”고 말했다. 당시 국가정보원이 해킹 사실을 인지해 대통령에 보고된 것이란 얘기다.
해킹 사실이 드러난 이후인 11월 23일 국가정보원 국가사이버안보센터(NCSC)는 영국 정부통신본부(GCHQ) 소속 국가사이버안보센터(NCSC)와 합동으로 발표한 ‘사이버보안 권고문’을 통해 북한 해킹조직의 피해 예방을 위한 보안 강화를 당부한 바 있다.
익명을 요청한 정부 관계자는 “아웅산 묘소 폭탄 테러 사건 사례에서도 알 수 있듯이, 대통령의 일정은 탑시크릿(Top Secret)으로 관련 정보가 외부로 유출되면 절대 안 된다”며 “내부 자료는 반드시 보안성 검토를 받고 오케이 승인이 되면 암호화한 후 외부로 전송해야 하는데, 그렇지 않은 규정 위반 사례였다”고 지적했다.
이어 정부 관계자는 “이번 해킹 이슈는 내부 보안관리 실패에 의한 것”이라며, “실패사례를 반면교사 삼아 내부자에 대한 보안교육을 강화하고, 업무 과정에서 보안이 허술해지지 않도록 다양한 장치를 강구해야 한다”고 말했다.
그렇다면 북한 해커는 행정관의 네이버 메일 계정을 어떻게 확보할 수 있었을까. 이번 사건과 관련해 네이버 관계자는 “내용 확인 중”이라며 “자세한 내용과 피해 상황에 대해서는 해당 기관에 문의하길 바란다”며 말을 아꼈다.
익명을 요청한 보안전문가 A는 북한 해커가 네이버 계정을 확보할 수 있었던 것에 대해 “첫째, 해당 직원이 북한의 네이버 메일 피싱 공격을 당해 패스워드가 유출되어 해당 네이버 메일에 북한 해커가 접속해 내용을 확인했을 수 있다”며 “피싱 메일로 계정이 탈취되고, 국가정보원에서 해당 피싱 메일을 조사하다가 피해자로 확인됐을 가능성이 있다”고 추정했다.
또 다른 가능성에 대해 그는 “다크웹에 유출되어 있는 해당 행정관의 계정정보를 입수한 후, 로그인에 성공해 북한 해커가 내용을 확인했을 수도 있다”고 덧붙였다.
이처럼 개인 메일이 북한 해커에게 해킹되고 있어 이용자들의 각별한 주의가 요구된다. 개인 SNS, 이메일 등은 대통령실이나 국가정보원의 보안 통제 영역에서 벗어나 있기 때문에 북한 해커들에게는 스피어피싱 공격에 안성맞춤인 대상이다. 즉, 탐나는 먹잇감이란 얘기다.
익명을 요청한 보안전문가 B는 “북한의 사이버 공격 트렌드를 살펴보면 스피어피싱이 가장 많다”며 “이어 웹사이트를 노린 워터링홀 공격, 공급망 공격이 주로 감행된다”고 밝혔다.
더욱이 북한의 사이버 공격은 스피어피싱에 사회공학적 기법을 더한다. 특히 주요 타깃인 외교, 안보, 국방, 통일 분야 인사들은 공격이 성공할 때까지 공격 시도가 끊임없이 이어지고 있다.
보안전문가 B는 “북한의 사이버 공격은 계속 일어나고 있다”며 “특히 주요 인사의 경우 공격을 위해 지인, 인맥관계, 활동 범위 등 사전에 정보를 입수하고, 주변인물 등 공격 대상자를 물색해 점점 좁혀가는 방식으로 타깃을 노린다”고 설명했다.
리니어리티 한승연 대표는 “사용자가 피싱 페이지에 ID·PW를 입력하거나, 사용자 PC에 스틸러 또는 RAT 유형의 악성코드가 설치되는 경우 중요 정보가 해커에게 유출될 수 있다”며 “현행 망분리 제도는 이러한 공격을 방어할 수 있는데, 이는 사용자가 업무에 불편함을 느끼는 측면이 있고, 이러다보면 통제를 우회하려는 시도가 발생하게 된다”며 현재의 보안 문제를 진단했다.
이어 그는 “업무 편의성을 제공하면서도 높은 보안수준을 유지하는 것은 어렵다”면서도 “중요 문서 생성, DRM 해제 및 외부 반출기록, 프로그램 실행 기록 등 사용자 PC에서 발생하는 다양한 행태 정보를 모니터링해 이상징후를 정교하게 탐지하는 방법이 통제를 강화하는 것보다 더 효과적일 수 있다”고 조언했다.
[김경애 기자(boan3@boannews.com)]
대통령실 행정관, 업무 신속성 위해 네이버 메일 사용...북한 해커, 계정정보 확보해 해킹
해킹 당한 행정관, 업무 규정 위반 소지...보안성 검토 받고 승인되면 암호화 후 외부로 전송해야
[보안뉴스 김경애 기자] 신속한 업무 처리를 위해 보안을 간과한 대통령실 행정관의 업무 처리가 북한의 해킹 공격으로 이어져 파장이 확대되고 있다. 일각에서는 대통령실이 뚫린 것 아니냐는 의심의 목소리도 나오고 있지만, 그건 사실이 아닌 것으로 파악됐다. 이번 사건으로 인해 공무원, 공공기관 관계자들의 보안인식 제고와 내부 보안관리 강화 목소리가 커질 것으로 보인다.
[이미지 = gettyimagesbank]
북한의 대통령실 행정관 이메일 해킹은 윤석열 대통령이 지난해 11월 20~23일 영국 국빈방문 중 사실이 드러났다. 당시 순방 중이던 윤 대통령이 행정관의 해킹 피해 사실을 보고 받은 것으로 전해졌다.
당시 행정관은 산업통상자원부에서 대통령실로 파견 나온 공무원으로, 정부 시스템에 접근해 대통령 순방 일정 등을 체크한 것으로 알려졌다. 이 과정에서 행정관이 업무 신속성을 위해 네이버 메일을 사용했는데, 평소 정부 인사를 호시탐탐 노리던 북한 해커가 행정관의 아이디와 패스워드 등 계정정보를 탈취하면서 대통령실 자료가 외부로 유출된 것으로 파악됐다.
유출 사실은 당시 국가정보원에 의해 역추적돼 드러난 것으로 알려졌다. 익명을 요청한 정부 관계자는 “주로 활동하는 북한 해커조직을 모니터링하던 중 대통령 순방 일정 등 정보가 포착돼 역추적한 결과 네이버 메일을 통해 유출됐고, 당시 순방에 동행했던 행정관 메일로 확인된 것으로 알고 있다”고 말했다. 당시 국가정보원이 해킹 사실을 인지해 대통령에 보고된 것이란 얘기다.
해킹 사실이 드러난 이후인 11월 23일 국가정보원 국가사이버안보센터(NCSC)는 영국 정부통신본부(GCHQ) 소속 국가사이버안보센터(NCSC)와 합동으로 발표한 ‘사이버보안 권고문’을 통해 북한 해킹조직의 피해 예방을 위한 보안 강화를 당부한 바 있다.
익명을 요청한 정부 관계자는 “아웅산 묘소 폭탄 테러 사건 사례에서도 알 수 있듯이, 대통령의 일정은 탑시크릿(Top Secret)으로 관련 정보가 외부로 유출되면 절대 안 된다”며 “내부 자료는 반드시 보안성 검토를 받고 오케이 승인이 되면 암호화한 후 외부로 전송해야 하는데, 그렇지 않은 규정 위반 사례였다”고 지적했다.
이어 정부 관계자는 “이번 해킹 이슈는 내부 보안관리 실패에 의한 것”이라며, “실패사례를 반면교사 삼아 내부자에 대한 보안교육을 강화하고, 업무 과정에서 보안이 허술해지지 않도록 다양한 장치를 강구해야 한다”고 말했다.
그렇다면 북한 해커는 행정관의 네이버 메일 계정을 어떻게 확보할 수 있었을까. 이번 사건과 관련해 네이버 관계자는 “내용 확인 중”이라며 “자세한 내용과 피해 상황에 대해서는 해당 기관에 문의하길 바란다”며 말을 아꼈다.
익명을 요청한 보안전문가 A는 북한 해커가 네이버 계정을 확보할 수 있었던 것에 대해 “첫째, 해당 직원이 북한의 네이버 메일 피싱 공격을 당해 패스워드가 유출되어 해당 네이버 메일에 북한 해커가 접속해 내용을 확인했을 수 있다”며 “피싱 메일로 계정이 탈취되고, 국가정보원에서 해당 피싱 메일을 조사하다가 피해자로 확인됐을 가능성이 있다”고 추정했다.
또 다른 가능성에 대해 그는 “다크웹에 유출되어 있는 해당 행정관의 계정정보를 입수한 후, 로그인에 성공해 북한 해커가 내용을 확인했을 수도 있다”고 덧붙였다.
이처럼 개인 메일이 북한 해커에게 해킹되고 있어 이용자들의 각별한 주의가 요구된다. 개인 SNS, 이메일 등은 대통령실이나 국가정보원의 보안 통제 영역에서 벗어나 있기 때문에 북한 해커들에게는 스피어피싱 공격에 안성맞춤인 대상이다. 즉, 탐나는 먹잇감이란 얘기다.
익명을 요청한 보안전문가 B는 “북한의 사이버 공격 트렌드를 살펴보면 스피어피싱이 가장 많다”며 “이어 웹사이트를 노린 워터링홀 공격, 공급망 공격이 주로 감행된다”고 밝혔다.
더욱이 북한의 사이버 공격은 스피어피싱에 사회공학적 기법을 더한다. 특히 주요 타깃인 외교, 안보, 국방, 통일 분야 인사들은 공격이 성공할 때까지 공격 시도가 끊임없이 이어지고 있다.
보안전문가 B는 “북한의 사이버 공격은 계속 일어나고 있다”며 “특히 주요 인사의 경우 공격을 위해 지인, 인맥관계, 활동 범위 등 사전에 정보를 입수하고, 주변인물 등 공격 대상자를 물색해 점점 좁혀가는 방식으로 타깃을 노린다”고 설명했다.
리니어리티 한승연 대표는 “사용자가 피싱 페이지에 ID·PW를 입력하거나, 사용자 PC에 스틸러 또는 RAT 유형의 악성코드가 설치되는 경우 중요 정보가 해커에게 유출될 수 있다”며 “현행 망분리 제도는 이러한 공격을 방어할 수 있는데, 이는 사용자가 업무에 불편함을 느끼는 측면이 있고, 이러다보면 통제를 우회하려는 시도가 발생하게 된다”며 현재의 보안 문제를 진단했다.
이어 그는 “업무 편의성을 제공하면서도 높은 보안수준을 유지하는 것은 어렵다”면서도 “중요 문서 생성, DRM 해제 및 외부 반출기록, 프로그램 실행 기록 등 사용자 PC에서 발생하는 다양한 행태 정보를 모니터링해 이상징후를 정교하게 탐지하는 방법이 통제를 강화하는 것보다 더 효과적일 수 있다”고 조언했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
(1).jpg){kind=spacer}
(0).jpg){kind=spacer}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
