이 기사를 공유합니다

北, 대선 정국에서 남남갈등 조장…금전적 이득 노린 랜섬웨어 기승

2017년에는 대선을 틈타 특정 공공기관을 표적으로 해킹을 반복하는 지능형 지속 사이버 테러와 세계 경제침체와 맞물려 고수익을 노린 랜섬웨어(ransom ware) 공격이 늘어날 것으로 예측됐다.

 

정부 당국은 대선 정국을 맞아 북한의 사이버 테러에 촉각을 세우고 있다. 경찰에서는 북한이 대선 과정에서 각종 괴담과 유언비어를 확대·재생산해 특정후보에 대한 낙선 공작과 함께 주한미군 철수, 국가보안법 철폐, 공안기관 폐지, 연방제 통일 등 민감한 이슈를 수면 위로 끌어올려 국론분열을 조장할 것으로 내다봤다. 이를 위해 SNS 계정을 지속적으로 개설하고, ‘봇계정(여러 개의 계정에 동일한 내용을 반복 전송하는 계정)’, 자동 ‘리트윗(재전송)’ 등을 적극 활용할 것으로 보인다. 경찰 등 공안 당국은 친북 SNS 계정 등을 차단하고 있는데, 2010년 처음으로 33건을 차단한 데 이어 2016년에는 1000건에 육박했다.

 

한국인터넷진흥원(KISA) 인터넷침해대응센터 종합상황실에서 디도스 공격, 해킹 메일 유포 등의 사이버 공격에 대비해 모의 훈련을 진행하고 있다. © 연합뉴스

北, 악성 해킹 메일 무차별 살포

 

북한의 사이버 공격 형태는 홈페이지 해킹에서 악성 해킹 메일로 변화하고 있다. 2016년 군사법원이 제출한 국정감사 자료에 따르면, 군을 대상으로 한 북한의 대남 사이버 공격 건수는 2014년 96건에서 2015년 86건, 2016년 7월 현재 43건으로 총 225건이다. 이 가운데 2015년의 경우 86건 중 해킹 메일이 86%(74건), 악성코드 14%(12건)로 나타났고, 2016년의 경우는 43건 중 해킹 메일이 62.8%(27건), 악성코드가 34.9%(15건), 홈페이지 공격이 2.3%(1건)로 확인됐다.

 

경찰은 북한이 국내 대기업 등을 대상으로 2016년까지 4만여 건의 문서를 해킹한 것으로 보고 있다. 북한은 국내 스마트폰 해킹과 정부 주요 인사에게 해킹 메일을 지속적으로 유포하고 있다. 2016년 상반기 북한 정찰총국 등이 주도한 사이버 공격은 2015년 동기간보다 200% 이상 급증했다. 북한은 2016년 11월 교수와 기업인 등 국내 특정인을 대상으로 “우려되는 대한민국”이라는 한글파일 속에 악성코드를 첨부한 해킹 메일, “카카오 앱 보호기능이 추가됐습니다”라는 카카오를 사칭한 해킹 메일 등을 무차별적으로 발송하는 사이버 공격을 자행한 바 있다.

 

북한 해외파견 전문해커들은 생활비와 임대료, 장비구입 등에 필요한 운영자금과 ‘충성자금’을 마련하고자 국내 범죄조직을 포섭하기 위한 다양한 전술을 구사할 것으로 전망됐다. 실제로 이아무개씨와 김아무개씨가 2015년 3월부터 10월까지 북한 정찰총국의 민간위장업체 소속인 대남 공작원에게 ‘스카이프(무료 VoIP 소프트웨어) 메신저’를 이용해 불법 도박 프로그램 등의 개발을 의뢰하며 1억여원을 송금하는 등 편의를 제공한 혐의로 2016년 6월 불구속된 바 있다.

 

사물인터넷(IoT) 기기를 이용한 대규모 디도스 공격도 예상된다. 한국인터넷진흥원은 “사물인터넷 기기는 운영체제(OS)를 갖춘 일종의 컴퓨터로 개인용 컴퓨터(PC)를 이용한 디도스 공격과 비슷한 효과를 발휘하지만, PC보다 보안이 허술한 경우가 많다”면서 “선거기간 중 급하게 만들어져 보안이 취약한 대선캠프와 정당 등이 공격 대상이 될 수 있다”고 지적했다.

 

ⓒ 시사저널 미술팀

국내 맞춤형 랜섬웨어 기승

 

지난해는 랜섬웨어의 해라고 해도 과언이 아니다. 랜섬웨어는 인터넷 사용자의 컴퓨터에 잠입해 내부 문서 등을 암호화해 열지 못하도록 만든 후 돈을 보내주면 해독용 열쇠 프로그램을 전송해 주는 식의 악성 프로그램이다. 컴퓨터 사용자의 파일을 인질로 잡고 몸값(ransom)을 요구한다고 해서 붙여진 이름이다. 지난해 랜섬웨어는 즉각적으로 금전적 이득을 취할 수 있기 때문에 해커들의 주요 공격수단이 됐다. 우리나라의 경우 랜섬웨어 공격을 당한 기업은 2015년 1.7%에서 2016년 18.7%로 급증했고, 개인에 대한 랜섬웨어 공격은 지난해 처음으로 발생해 2.8%를 기록했다. IT보안업체 안랩 관계자는 “랜섬웨어 공격은 올해 더욱 고도화되고 공격 범위도 확대될 것”이라면서 “한국 맞춤형 랜섬웨어가 등장했는데, 설문지 문서파일로 위장하고 있으며 기존 버전에는 없었던 ‘hwp’ 확장자를 갖는 한글 문서를 암호화하는 기능이 추가됐다”고 설명했다.

 

대표적인 것이 신종 랜섬웨어인 ‘비너스 라커(Venus Locker)’다. 비너스 라커 랜섬웨어는 지난해 말부터 설문지, 예약 문의, 사내 공지 등 한국어 메일을 통해 급속히 유포됐다. 기존의 랜섬웨어가 불특정 다수가 관심을 가질 만한 제목을 사용했다면, 비너스 라커는 특정 개개인을 겨냥한 맞춤 제목으로 유포되고 있다. 공공기관의 경우 민원의 형태를 취하고, 무역업체의 경우 발주 문의를 하는 식이다. 안랩 관계자는 “랜섬웨어 자체가 수요자와 공급자가 유기적으로 활동하는 하나의 시장을 형성했다”면서 “기업 간 무역거래 대금을 노린 범죄조직이 활동 중이기 때문에 무역거래가 빈번한 기업은 각별한 주의가 요구된다”고 말했다.

 

2013년 등장했지만 한동안 자취를 감췄던 메모리 해킹 악성코드도 돌아왔다. 메모리 해킹 악성코드는 광고, 쇼핑, 검색 도우미 등 애드웨어 프로그램 업데이트 기능을 악용해 사용자 PC에 설치된다. 메모리 해킹 악성코드가 동작하면 먼저 무료 백신을 무력화하고 금융보안 모듈을 해킹해 사용자 금융정보를 빼내간다. 이를 예방하기 위해서는 불필요한 애드웨어 프로그램으로 삭제하고, 백신 프로그램도 최신 버전을 사용해야 한다.

 

미래창조과학부와 한국정보기술연구원은 ‘차세대 보안리더 양성 프로그램(Best of the Best·BoB)’을 운영하고 있다. BoB는 2012년부터 운영돼 왔으며 지금까지 430여 명의 정보보안 전문가를 양성했다. 2015년에는 BoB 수료생들이 주축이 된 ‘데프코(DEFKOR)’팀이 미국 최대 국제해킹대회인 ‘데프콘 CTF’에서 우승을 차지하기도 했다. BoB 관계자는 “사이버 테러가 전 세계를 위협하고 있다. 이에 따라 사이버 보안 인재 양성의 필요성이 급증하고 있다”면서 “올해 5년 차를 맞는 BoB는 도제식 교육 및 서바이벌 방식의 교육 프로그램을 통해 세계 최고의 보안 전문가를 배출하고 있다”고 밝혔다. 

 

저작권자 © 시사저널 무단전재 및 재배포 금지