북한의 사이버공격 주 타깃 되는 사회기반시설 ‘위태위태’우리나라 호시탐탐 노리는 북한의 사이버전 조직 ‘어마어마’  [보안뉴스 김경애] 지난해 8월 국가철도의 운영 및 전반적 시설을 총괄하는 한국철도공사(코레일)의 핵심 직원들 PC가 해킹당한 사실이 뒤늦게 드러나면서 한수원 해킹사고에 이어 사회기반시설의 정보보안에 빨간불이 켜졌다.




한국철도공사 해킹, 북한소행 추정
특히, 이번 코레일 해킹 사고는 북한 소행으로 추정되고 있는데, 이는 한수원의 원전자료 유출사고에 이어 철도 전산망 자료 등 사회기반시설을 노린 북한의 사이버전이 갈수록 노골화되고 있다는 것을 입증하는 사례다.

국토교통위원회 소속 새누리당 하태경 의원은 “네트워크 망구성도를 비롯해 주요정보통신 기반시설 점검계획 등 공문서 53개 파일이 유출됐다”며 “북한 소행으로 추정되고 있으며 이는 국토교통부를 통해 확인했다”고 밝혔다.

이번 사건은 한국철도공사의 전산망을 관리하는 핵심부서인 정보기획처 소속 컴퓨터 3개가 해킹을 당한 것으로 조사됐으며, 그중에는 정보보호 시스템 관리, 개인정보 보호관리 등 정보보호 분야를 총괄하고 있는 한국철도공사 정보보호 파트장 PC도 포함된 것으로 알려졌다.

한국철도공사 자회사 코레일네트웍스도 뚫려
이렇듯 우리나라의 사회기반시설을 노린 해킹 공격은 어제 오늘일이 아니다. 이미 수년전부터 관련 통계결과가 잇따라 발표되며, 우려의 목소리가 이어져 왔다.

특히, 한국철도공사의 자회사인 코레일네트웍스는 이미 지난 2013년 11월에 북한소행으로 추정되는 해커조직으로부터 내부 업무망이 뚫린 바 있다.

당시 북한 해커조직은 기관 직원의 계정정보를 절취해 주자관리 시스템, 그룹웨어 등 업무망에 무단접속한 뒤 13건의 문건을 탈취한 것으로 드러났다.

유출경로는 악성코드를 첨부한 피싱 메일로 추정되고 있으며, 계정정보를 탈취한 후 2013년 11월 15일 일반 가정 PC를 경유해 문건을 유출한 것으로 알려졌다. 또한, 2014년 3월 14일부터 26일까지 그룹웨어와 웹메일 서버에 접속한 흔적과 그룹웨어에서 로그인을 해야만 접근이 가능한 웹페이지에 접속한 흔적도 드러났다.

게다가 본지가 올해 1월 보도한 바에 따르면 한국전력, 원자력안전평가원, 원자력의료원 등 원자력관련 기관들의 대외인증서, 그리고 한전 발행 인증서를 보유한 기업들의 인증서가 악성코드에 의해 탈취된 정황도 포착됐다.
당시 악성코드에 의해 탈취된 인증서들의 메타데이터를 추출해 분석한 결과, 한국전력, 원자력안전평가원, 원자력의료원 등의 대외 인증서들을 비롯해 한전에서 발행된 인증서를 보유한 기업들의 인증서 목록이 추가로 확인된 바 있다. 

이러한 사이버공격 시도는 사회기반시설을 담당하는 주요 기업들에 대한 해킹시도 건수에서도 드러난다. 산업부 통계에 따르면 지난 2008년 8월부터 2012년 8월까지 보안관제를 통한 침해탐지건수는 총 15,135건으로 하루 평균 10.4건에 달했으며, 이중 한국수력원자력이 1,437건(9.5%)으로 가장 많았고, 한국전력공사 758건(5%), 세라믹기술원 676건(4.5%), 에너지관리공단 581건(3.8%) 순으로 조사된 바 있다.
사이버전을 펼치는 북한의 해커부대 조직도
이렇듯 북한은 사이버전을 비대칭전력의 핵심으로 판단하고, 대대적으로 투자하고 있다.


 ▲ 북한의 사이버전 조직도(출처: K-BoB Security Forum 2015 정보보호 발전방향 조찬      좌담회에서 발표한 고려대학교 이경호 교수 발표자료)

현재까지 알려진 북한의 사이버전 담당조직을 살펴보면 국방위원회 산하에  총참모부와 정찰총국(사이버전 총본산)으로 구분되며, 총참모부 산하에 지휘자동화국, 적공국으로 나뉜다.

또한, 정찰총국 산하에는 △해킹과 사이버전 전담부대인 전자정찰국 사이버전지도국(121국) △해커부대인 91소 △사회일반 분야에서 인터넷 심리전을 펼치는 31과 32소, △정치·경제·사회기관을 해킹해 자료를 수집하는 자료조사실 △군과 전략기관을 타깃으로 사이버공격을 감행하는 기술정찰조 110호 연구소로 구분된다.

 
여기에 속한 조직들은 지난 2009년 7월에 발생한 7.7DDoS, 2010년 6월 발생한 북어뢰관련 대남심리전, 2011년 4월 GPS 교란작전을 수행한 것으로 추정되고 있다.

이어 지휘자동화국 밑으로는 △해킹 프로그램을 개발하는 31소(장교 50~60여명 활동) △군관련 프로그램을 개발하는 32소(장교 50~60여명 활동) △지휘통신 프로그램을 개발하는 56소(장교 60~70명 활동)가 포함된 것으로 분석된다.

다음으로 적공국 아래에는 인터넷 심리전을 담당하는 204소가 있는 것으로 알려졌다.

북한의 사이버전사들은 대부분 김일성종합대학, 김책공대, 평양컴퓨터기술대학, 지휘자동화대학(미림대학) 출신으로, 북한은 사이버전사 양성을 사이버전력 강화의 핵심으로 받아들이고 국가 차원에서 전폭적인 지원을 하고 있다.

이와 관련 고려대학교 이경호 교수는 “북한은 사이버전력 강화의 핵심이 사이버전사 양성임을 인식하고, 군사적 목적 달성을 위해 사이버전사들을 정책적으로 양성하고 있다”며 “학생 전원은 해외 유학 등 다양한 특혜를 제공하고 있다”고 밝혔다.
사회기반시설내 취약 시스템 정밀조사해야

북한의 사이버공격에 사회기반시설이 위태롭게 노출돼 있는 상황에서 사회기반시설내 취약 시스템에 대한 정밀조사가 필요하다는 지적이 나오고 있다. 정밀조사 결과에 따른 대책 마련과 재정비, 그리고 관리 개선방안이 요구되고 있다.

이와 관련 하태경 의원은 “철도와 같은 국가주요시설의 정보보호 담당자가 북한 소행으로 추정되는 해킹에 뚫린 자체가 국가적 혼란을 초래할 수 있는 초유의 사태”라며 “철도, 항공, 전력 등 국가 주요기반시설 전산망에 대한 보안 재점검이 시급하며, 철도공사의 직원 PC가 해킹당한 것조차 몇 개월 동안 파악하지 못할 정도로 취약한 시스템을 운영한 측면에 대한 철저한 조사가 필요하다”고 강조했다. [김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>