.gif)
한수원 사태 이후에도 북한 추정 사이버공격 빈발...사이버전은 계속된다
[보안뉴스 김경애] 한수원 사태 1주년. 2014년 12월 9일 ‘증기발생기 자동 감압 내용 참조하세요’라는 내용으로 원자력 발전소 안전담당자들에게 메일이 발송된 것을 기점으로 시작된 한수원 사태는 1년 전 전국을 뜨겁게 달구면서 보안이슈의 중심에 섰다.
그로부터 1년이 지난 지금에도 북한 추정 해킹 공격은 곳곳에서 포착되고 있는 상황이다. 이에 한수원 사태를 최초로 단독 보도한 본지는 한수원 사태 1주년을 맞이해 최초 보도 시점을 중심으로 올 한해도 계속 이어지고 있는 북한발 사이버공격 현황을 12월부터 역순으로 정리해 봤다.
북한 해커조직으로 추정되는 사이버공격은 12월에도 어김없이 포착되고 있다. 좀더 은밀하게 활동하고 있다는 점이 달라졌을 뿐이다. 일례로 지난 4일에는 북한 추정 해커조직이 12월에 제작한 최신 악성프로그램 모듈이 발견됐으며, 2일에는 한동안 접속이 불가능했던 북한 프로그래머의 해외 개인 사이트가 또 다시 오픈된 것으로 드러났다.
한수원 사태 이후 해킹 사실 줄줄이 드러나
10월로 거슬러 올라가도 북한 추정 사이버공격이 줄줄이 발견됐다. 지난 10월 20~25일에는 서울 ADEX 2015 전시회 참가업체를 대상으로 한글 취약점을 이용한 스피어피싱 공격이 포착됐다. 또한, 2014년 5월~2015년 7월 동안에는 ‘검은광산’ 작전명으로 에너지, 교통, 통신, 방송, IT기업, 금융, 정치 분야를 타깃으로 1년여 이상 공격한 정황이 드러나기도 했다. 이 뿐만 아니다. 국내 모 기관을 타깃으로 한글 취약점을 바탕으로 특정인의 이력서 파일을 이용한 표적 공격도 포착됐다.
북한 추정 사이버공격은 국정감사를 통해서도 여실히 증명됐다. 이 외에 그동안 드러나지 않았던 사건들이 언론을 통해 줄줄이 공개됐다. 지난 2008년부터 2012년 9월까지 국방위 63건, 외통위 58건, 정보위 17건 등 해당 상임위소속 의원실이 138차례 해킹됐으며, 2008년~2011년 6월까지는 국회전산망을 타깃으로 한 공격으로 261건의 정보가 탈취됐다. 이보다 앞서 지난 2012년 6월에는 클린턴에게 보낸 서한 등 군 관련 문서 74건도 유출된 것으로 밝혀졌다.
2014년 7월 23일에는 서울메트로 업무용 PC 3대에서 업무관련 자료가 유출됐으며, 최소 5개월 이상 북한 추정 해커집단에 의해 장악된 것으로 분석됐다. 2014년 8월에는 한국철도공사(코레일) 핵심직원 PC가 해킹돼 네트워크망 구성도, 주요 정보통신기반시설 점검계획 등 공문서 53개 파일이 유출됐다.
2014년 8월에는 한 보안업체와 해당 보안업체의 보안 솔루션을 도입한 대학병원 전산망이 해킹된 사실이 뒤늦게 드러났으며, 해당 보안업체의 경우 국방부에 납품한 보안제품 관련 문서 14종이 탈취되는 피해를 입기도 했다.
지뢰도발로 혼란한 정국, 한수원 등 추가자료 공개
8월에는 북한 지뢰도발 사건 등으로 그 어느 때보다 남북한의 긴장감이 높았다. 이 시점에도 북한 추정 사이버공격은 멈추지 않았다. 지난 8월 20~21일과 26일에는 국내 기관을 타깃으로 사이버공격 활동이 중국 선양에서 포착됐으며, 북한군이 사용한 것으로 추정되는 IP가 발견됐다.
특히, 지뢰도발과 확성기 사태를 해결하기 위해 진행된 남북한 고위급 당국자 접촉 시점인 지난 8월 23일 오후 4시 15분경에도 악성코드가 유포됐으며, 북한 김수키 추정 조직이 이메일 C&C를 활용해 기밀자료를 절취한 정황도 포착됐다.
이보다 앞서 지난 8월 15일에는 북한 추정의 해커조직이 특정기관 사이트 방문자를 대상으로 워터링홀 공격을 감행해 정보를 탈취했다. 이후 포털사 이메일 계정으로 만든 해외 클라우드 서버로 탈취한 정보를 전송한 정황도 발견됐다.
지난 8월 4일에는 한수원 해킹범으로 추정되는 해커 조직이 국정원(2건), 국방부(6건), 청와대(1건), 한수원(1건) 등 총 10개 자료를 추가 공개했으며, 해당 자료가 첨부파일로 포함된 이메일을 본지를 비롯한 언론사에 발송했다.
이어 국내 특정 공공기관을 타깃으로 한 APT 공격과 특정 기관 웹사이트에서의 워터링홀 공격이 진행되는 등 지난 6~8월에 악성코드가 집중적으로 뿌려졌다. 당시 악성코드를 분석한 결과 소니픽쳐스 때와 유사한 것으로 분석됐다.
해킹팀 이슈로 노출된 어도비 플래시 등 보안취약점 악용 기승
7월에는 이탈리아 해킹팀 이슈로 노출된 취약점을 악용한 사이버공격이 잇따라 발견됐으며, 한수원 해킹범으로 추정되는 해커조직이 트위터를 통해 한수원 등의 관련 자료를 공개했다.
일례로, 7월 8~14일에는 탈북자 모임 등 북한 관련 사이트에서 해킹팀 이슈로 노출된 취약점을 이용한 악성코드가 발견됐으며, 대북관련 매체 사이트에서 워터링홀 공격에 이용한 IP 가 발견됐다.
7월 13일에는 한수원 해킹 조직이 텀블러와 트위터 계정을 새로 만들어 한수원 및 군 관련 자료를 공개했으며, 몇몇 언론사에 원전자료 23개, 국방관련 문서 15개 등 총 8.5M 분량의 자료를 메일로 전송했다.
7월 8일에는 한수원 해킹 추정 조직이 John 계정 트위터에 원전관련 자료 19개를 공개한데 이어 같은 날 오전 11시쯤 17개 파일 리스트를 추가 공개했다. 또한, 지난 7월 6일 오후 5시 29분경에는 트위터에 점을 찍었다가 삭제한 정황이 국내 보안전문가들에 의해 밝혀졌다.
7월 3일과 6일에는 국내 특정 기관의 컴퓨터에 악성파일을 전파하기 위한 목적으로 북한 사이버전사가 자신의 지휘통신체계용 해외메일 서버로 보낸 악성파일이 국내 보안전문가들에 의해 포착되기도 했다. 이보다 앞서 7월 1, 3, 6일에는 국내 특정기관을 타깃으로 한 악성코드가 유포됐다.
스피어피싱 및 워터링홀 공격 이어져
지난 6월에는 메르스 여파로 전국이 혼란스러웠다. 하지만 당시에도 메르스를 사칭한 악성파일이 발견되는 등 북한 추정 사이버공격이 진행됐다. 6월 6일에는 국방, 외교, 통일 분야 정보를 수집하기 위한 스피어피싱과 워터링홀 공격 시도가 포착됐다.
3~5월에도 국내 기관을 타깃으로 한 워터링홀 공격과 스피어피싱 공격이 잇따라 탐지됐다. 특히, 북한 관련 사이트에서 워터링홀과 스피어피싱 공격이 증가했으며, 해커가 iFrame을 이용해 웹서버 내 악성코드를 유포한 정황이 발견됐다. 이어 군 관련 연구소, 학회, 학교 총동창회, 전우회 등을 타깃으로 스피어피싱이 탐지됐다. 공격자는 사전에 수집된 정보를 기반으로 유관 분야 전문가나 소속 직원에게 악성코드를 유포했으며 군 관련 홈페이지를 악성코드 유포지로 악용했던 것으로 드러났다.
지난 2월말~3월에는 북한 관련 사이트에서 웹사이트 방문자를 대상으로 최신 악성코드가 유포됐다. 공격자는 짧은 기간 악성코드를 심었다가 빠지는 공격 방식을 취했으며 해당 악성코드는 3.20사이버테러 때 유포된 악성코드와 전체적인 동작 구조가 유사한 것으로 드러났다.
트위터로 원전 자료 줄줄이 공개
2014년 12월 9일 한수원 해킹 공격을 감행한 이후, 북한 추정 해커조직은 트위터를 통해 관련 자료를 줄줄이 공개하며, 사회적 혼란과 분열을 부추겼다. 3월 12일에는 외교, 국방 분야와 관련된 특정기관을 타깃으로 한글 취약점을 이용한 신규 악성코드가 발견됐으며, 특정기관이 진행했던 한일현인회의 관련 문서가 유출됐다.
2014년 12월 19, 21일에는 한수원 해킹조직이 트위터와 드롭박스를 통해 한수원 내부문서인 설계도면 등을 대거 공개했으며, 17일에는 한수원 전체 임직원 10,799명의 개인정보가 유출된 사실이 본지를 통해 최초로 보도됐다. 결국 이보다 앞선 9일에 한수원 등의 발전소와 국방 분야를 타깃으로 한 공격 사실이 12일 본지에 보도되면서 한수원 사태의 서막이 열린 셈이 됐다.
이처럼 한수원 사태 1주년이 지난 지금에도 북한 추정 사이버공격은 끊임없이 진행되고 있다. 북한의 최고 엘리트들로 구성된 사이버전사들이 우리 사이버영토를 계속 침입해왔던 것이다. 한수원 사태 이후로 각 정부부처별로 정보보호 전문인력을 배치하고, 정보보호산업진흥법을 통과시키는 등 사이버보안 분야의 여건은 사태 이전보다 훨씬 나아졌다. 그럼에도 아직 갈 길은 멀다. 사이버전을 전담할 수 있는 전문인력이 부족하고, 사이버테러방지법 제정이 표류하는 등 법제도 측면에서도 미흡한 부분이 적지 않기 때문이다. 좀더 신속한 논의와 과감한 결단이 필요한 이유다.
[김경애 기자(boan3@boannews.com)]
[보안뉴스 김경애] 한수원 사태 1주년. 2014년 12월 9일 ‘증기발생기 자동 감압 내용 참조하세요’라는 내용으로 원자력 발전소 안전담당자들에게 메일이 발송된 것을 기점으로 시작된 한수원 사태는 1년 전 전국을 뜨겁게 달구면서 보안이슈의 중심에 섰다.
그로부터 1년이 지난 지금에도 북한 추정 해킹 공격은 곳곳에서 포착되고 있는 상황이다. 이에 한수원 사태를 최초로 단독 보도한 본지는 한수원 사태 1주년을 맞이해 최초 보도 시점을 중심으로 올 한해도 계속 이어지고 있는 북한발 사이버공격 현황을 12월부터 역순으로 정리해 봤다.
북한 해커조직으로 추정되는 사이버공격은 12월에도 어김없이 포착되고 있다. 좀더 은밀하게 활동하고 있다는 점이 달라졌을 뿐이다. 일례로 지난 4일에는 북한 추정 해커조직이 12월에 제작한 최신 악성프로그램 모듈이 발견됐으며, 2일에는 한동안 접속이 불가능했던 북한 프로그래머의 해외 개인 사이트가 또 다시 오픈된 것으로 드러났다.
한수원 사태 이후 해킹 사실 줄줄이 드러나
10월로 거슬러 올라가도 북한 추정 사이버공격이 줄줄이 발견됐다. 지난 10월 20~25일에는 서울 ADEX 2015 전시회 참가업체를 대상으로 한글 취약점을 이용한 스피어피싱 공격이 포착됐다. 또한, 2014년 5월~2015년 7월 동안에는 ‘검은광산’ 작전명으로 에너지, 교통, 통신, 방송, IT기업, 금융, 정치 분야를 타깃으로 1년여 이상 공격한 정황이 드러나기도 했다. 이 뿐만 아니다. 국내 모 기관을 타깃으로 한글 취약점을 바탕으로 특정인의 이력서 파일을 이용한 표적 공격도 포착됐다.
북한 추정 사이버공격은 국정감사를 통해서도 여실히 증명됐다. 이 외에 그동안 드러나지 않았던 사건들이 언론을 통해 줄줄이 공개됐다. 지난 2008년부터 2012년 9월까지 국방위 63건, 외통위 58건, 정보위 17건 등 해당 상임위소속 의원실이 138차례 해킹됐으며, 2008년~2011년 6월까지는 국회전산망을 타깃으로 한 공격으로 261건의 정보가 탈취됐다. 이보다 앞서 지난 2012년 6월에는 클린턴에게 보낸 서한 등 군 관련 문서 74건도 유출된 것으로 밝혀졌다.
2014년 7월 23일에는 서울메트로 업무용 PC 3대에서 업무관련 자료가 유출됐으며, 최소 5개월 이상 북한 추정 해커집단에 의해 장악된 것으로 분석됐다. 2014년 8월에는 한국철도공사(코레일) 핵심직원 PC가 해킹돼 네트워크망 구성도, 주요 정보통신기반시설 점검계획 등 공문서 53개 파일이 유출됐다.
2014년 8월에는 한 보안업체와 해당 보안업체의 보안 솔루션을 도입한 대학병원 전산망이 해킹된 사실이 뒤늦게 드러났으며, 해당 보안업체의 경우 국방부에 납품한 보안제품 관련 문서 14종이 탈취되는 피해를 입기도 했다.
지뢰도발로 혼란한 정국, 한수원 등 추가자료 공개
8월에는 북한 지뢰도발 사건 등으로 그 어느 때보다 남북한의 긴장감이 높았다. 이 시점에도 북한 추정 사이버공격은 멈추지 않았다. 지난 8월 20~21일과 26일에는 국내 기관을 타깃으로 사이버공격 활동이 중국 선양에서 포착됐으며, 북한군이 사용한 것으로 추정되는 IP가 발견됐다.
특히, 지뢰도발과 확성기 사태를 해결하기 위해 진행된 남북한 고위급 당국자 접촉 시점인 지난 8월 23일 오후 4시 15분경에도 악성코드가 유포됐으며, 북한 김수키 추정 조직이 이메일 C&C를 활용해 기밀자료를 절취한 정황도 포착됐다.
이보다 앞서 지난 8월 15일에는 북한 추정의 해커조직이 특정기관 사이트 방문자를 대상으로 워터링홀 공격을 감행해 정보를 탈취했다. 이후 포털사 이메일 계정으로 만든 해외 클라우드 서버로 탈취한 정보를 전송한 정황도 발견됐다.
지난 8월 4일에는 한수원 해킹범으로 추정되는 해커 조직이 국정원(2건), 국방부(6건), 청와대(1건), 한수원(1건) 등 총 10개 자료를 추가 공개했으며, 해당 자료가 첨부파일로 포함된 이메일을 본지를 비롯한 언론사에 발송했다.
이어 국내 특정 공공기관을 타깃으로 한 APT 공격과 특정 기관 웹사이트에서의 워터링홀 공격이 진행되는 등 지난 6~8월에 악성코드가 집중적으로 뿌려졌다. 당시 악성코드를 분석한 결과 소니픽쳐스 때와 유사한 것으로 분석됐다.
해킹팀 이슈로 노출된 어도비 플래시 등 보안취약점 악용 기승
7월에는 이탈리아 해킹팀 이슈로 노출된 취약점을 악용한 사이버공격이 잇따라 발견됐으며, 한수원 해킹범으로 추정되는 해커조직이 트위터를 통해 한수원 등의 관련 자료를 공개했다.
일례로, 7월 8~14일에는 탈북자 모임 등 북한 관련 사이트에서 해킹팀 이슈로 노출된 취약점을 이용한 악성코드가 발견됐으며, 대북관련 매체 사이트에서 워터링홀 공격에 이용한 IP 가 발견됐다.
7월 13일에는 한수원 해킹 조직이 텀블러와 트위터 계정을 새로 만들어 한수원 및 군 관련 자료를 공개했으며, 몇몇 언론사에 원전자료 23개, 국방관련 문서 15개 등 총 8.5M 분량의 자료를 메일로 전송했다.
7월 8일에는 한수원 해킹 추정 조직이 John 계정 트위터에 원전관련 자료 19개를 공개한데 이어 같은 날 오전 11시쯤 17개 파일 리스트를 추가 공개했다. 또한, 지난 7월 6일 오후 5시 29분경에는 트위터에 점을 찍었다가 삭제한 정황이 국내 보안전문가들에 의해 밝혀졌다.
7월 3일과 6일에는 국내 특정 기관의 컴퓨터에 악성파일을 전파하기 위한 목적으로 북한 사이버전사가 자신의 지휘통신체계용 해외메일 서버로 보낸 악성파일이 국내 보안전문가들에 의해 포착되기도 했다. 이보다 앞서 7월 1, 3, 6일에는 국내 특정기관을 타깃으로 한 악성코드가 유포됐다.
스피어피싱 및 워터링홀 공격 이어져
지난 6월에는 메르스 여파로 전국이 혼란스러웠다. 하지만 당시에도 메르스를 사칭한 악성파일이 발견되는 등 북한 추정 사이버공격이 진행됐다. 6월 6일에는 국방, 외교, 통일 분야 정보를 수집하기 위한 스피어피싱과 워터링홀 공격 시도가 포착됐다.
3~5월에도 국내 기관을 타깃으로 한 워터링홀 공격과 스피어피싱 공격이 잇따라 탐지됐다. 특히, 북한 관련 사이트에서 워터링홀과 스피어피싱 공격이 증가했으며, 해커가 iFrame을 이용해 웹서버 내 악성코드를 유포한 정황이 발견됐다. 이어 군 관련 연구소, 학회, 학교 총동창회, 전우회 등을 타깃으로 스피어피싱이 탐지됐다. 공격자는 사전에 수집된 정보를 기반으로 유관 분야 전문가나 소속 직원에게 악성코드를 유포했으며 군 관련 홈페이지를 악성코드 유포지로 악용했던 것으로 드러났다.
지난 2월말~3월에는 북한 관련 사이트에서 웹사이트 방문자를 대상으로 최신 악성코드가 유포됐다. 공격자는 짧은 기간 악성코드를 심었다가 빠지는 공격 방식을 취했으며 해당 악성코드는 3.20사이버테러 때 유포된 악성코드와 전체적인 동작 구조가 유사한 것으로 드러났다.
트위터로 원전 자료 줄줄이 공개
2014년 12월 9일 한수원 해킹 공격을 감행한 이후, 북한 추정 해커조직은 트위터를 통해 관련 자료를 줄줄이 공개하며, 사회적 혼란과 분열을 부추겼다. 3월 12일에는 외교, 국방 분야와 관련된 특정기관을 타깃으로 한글 취약점을 이용한 신규 악성코드가 발견됐으며, 특정기관이 진행했던 한일현인회의 관련 문서가 유출됐다.
2014년 12월 19, 21일에는 한수원 해킹조직이 트위터와 드롭박스를 통해 한수원 내부문서인 설계도면 등을 대거 공개했으며, 17일에는 한수원 전체 임직원 10,799명의 개인정보가 유출된 사실이 본지를 통해 최초로 보도됐다. 결국 이보다 앞선 9일에 한수원 등의 발전소와 국방 분야를 타깃으로 한 공격 사실이 12일 본지에 보도되면서 한수원 사태의 서막이 열린 셈이 됐다.
이처럼 한수원 사태 1주년이 지난 지금에도 북한 추정 사이버공격은 끊임없이 진행되고 있다. 북한의 최고 엘리트들로 구성된 사이버전사들이 우리 사이버영토를 계속 침입해왔던 것이다. 한수원 사태 이후로 각 정부부처별로 정보보호 전문인력을 배치하고, 정보보호산업진흥법을 통과시키는 등 사이버보안 분야의 여건은 사태 이전보다 훨씬 나아졌다. 그럼에도 아직 갈 길은 멀다. 사이버전을 전담할 수 있는 전문인력이 부족하고, 사이버테러방지법 제정이 표류하는 등 법제도 측면에서도 미흡한 부분이 적지 않기 때문이다. 좀더 신속한 논의와 과감한 결단이 필요한 이유다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
