한국원자력연구원부터 KAI까지 최근 북한 연계 해킹조직의 공격 정황 계속 알려져
마치 일상처럼 꾸준하게 공격 퍼부어...이슈에 따라 일부 드러난 것일 뿐

[보안뉴스 원병철 기자] 30일 하태경 의원이 ‘한국항공우주산업(KAI)’의 해킹 사실을 공개하면서 최근 국가중요시설을 노린 사이버공격 논란이 뜨겁다. 특히, 하태경 의원은 공격 주체로 북한의 해커그룹으로 알려진 김수키(Kimsuky)일 가능성을 언급해 더욱 논란이 가중되고 있다. 지난 14일 한국원자력연구원을 해킹한 것으로 추정되는 김수키의 공격과 비슷한 시기에 발생했기 때문이라는 것이다.


[이미지=utoimage]

이와 관련해 본지가 조사한 결과 KAI 해킹 사건에서 아직까지 김수키로 단정할 만한 확실한 정보, 예를 들면 김수키의 이전 공격에서 사용됐던 코드나 IP 등이 아직 확인된 것은 없다. 다만 여러 북한 전문가들은 여러 정황상 김수키일 가능성이 높다고 보고 있다.

KAI 역시 30일 입장문을 발표하고, ①KAI는 해킹이 의심되는 사항에 대해 6월 28일 경찰에 수사 의뢰했으며, ②수사기관에 적극 협조하여 사실관계를 철저히 밝히는 데 최선을 다할 것이라고 말했다. 아울러 ③이번 일로 말미암아 국민들께 우려를 안겨드린 점을 송구스럽게 생각하며, 향후 보안 강화에 모든 노력을 기울이겠다고 전했다.

사실 북한의 지원을 받는 것으로 추정되는 여러 공격그룹의 한국 대상 사이버공격은 어제 오늘일이 아니다. <보안뉴스> 역시 김수키(탈륨)를 비롯해 라자루스나 안다리엘 등 여러 공격그룹이 자행한 것으로 추정되는 사건들에 대해 꾸준하게 보도해 왔다. 특히, 이들은 외교·안보·국방·통일·금융관련 부처나 기관, 담당자는 물론 보안업체나 최근 암호화폐 거래소 등 분야를 가리지 않고 꾸준하게 공격하고 있다.

하지만 대부분의 사람들이 이러한 사건들을 하나로 묶어서 보지는 않는다. 이에 대해 보안전문가들은 ‘공공은 국가정보원, 민간은 한국인터넷진흥원’으로 나뉘어 대응하는 것처럼, 사람들도 공공과 민간을 구분하기 때문이라고 말한다. 예를 들면, 김수키는 이번 KAI를 비롯해 한국원자력연구소를 공격했다는 점에서 ‘정부기관을 노리는 해킹조직’으로 보이겠지만, 30일 본지가 단독 보도한 구글 블로그를 이용한 민간인 대상 해킹이나 2019년 암호화폐 거래소 빗썸을 사칭한 이메일 공격 등 ‘민간을 대상으로 한 공격’도 꾸준하게 저질러왔다. 반드시 정부조직이나 공공분야만 노려온 것이 아니라는 얘기다.

게다가 이러한 사이버 공격에 대응하는 조직도 피해자가 공공인지, 민간인지에 따라 국정원과 KISA로 나뉘기 때문에, 공격주체에 대한 대응도 원활하지 않다. 이 때문에 일각에서는 민관을 모두 아우르는 사이버보안 컨트롤타워가 필요하다고 주장한다.

일련의 사건이 발생한 후 대처방안에 대해서도 보안전문가들은 아쉬움을 표했다. 사이버 공격과 관련해서는 유독 공격자보다 피해자를 탓하는 경우가 많다는 것. 이와 관련 이스트시큐리티 시큐리티대응센터(ESRC)의 문종현 센터장은 “집안에 도둑이 들었다고 집주인을 탓하는 경우는 없지만, 유독 사이버 공격과 관련해서는 공격자가 아닌 피해자를 타박하는 문화가 있다”고 지적하면서 “특히, 북한 추정 해커그룹이 연관된 사건의 경우 북한이나 해당 해커조직에 대한 조치를 취하기보다 피해자를 지적하고 문책하는데 초점을 맞추는 건 분명 잘못된 일”이라고 강조했다. 미국 정부나 마이크로소프트처럼 북한의 해킹 공격을 기정사실화하고 그에 대한 책임을 물어야 한다는 설명이다. 공격당한 기관이나 기업의 보안 강화는 후속조치가 되어야 한다는 것이다.

또 다른 보안전문가는 “북한 추정 해커그룹들은 한국 소프트웨어의 제로데이 취약점을 이용한 공격을 할 만큼 우리나라에 특화된 공격을 하고 있어 한순간도 안심할 수 없다”면서, “이 때문에 해킹 사건이 발생하면 책임을 묻고 문책하는 것보다는 빠른 후속조치를 하는 것이 더 중요하다”고 강조했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>