정부 당국자 "관련기관에서 이미 파악한 내용"

국가 주요 부처와 기관에 대해 북한소속으로 추정되는 해커의 기밀 유출 공격이 최근 수년에 걸쳐 계속됐다는 주장이 나왔다.

정보보안 업체 하우리는 12일 보도자료를 통해 북한 소속으로 추정되는 해커 조직이 2011년부터 3년간 국가 주요 기관과 연구 기관을 상대로 정보수집을 위한 사이버 첩보 활동을 해왔다고 밝혔다.

하우리에 따르면 공격을 받은 기관에는 정보 수집을 위한 악성코드가 설치됐고 일부 기밀 사항은 실제로 유출되기도 했다.

해커 조직은 주로 국방, 외교, 통일 관련 정부 부처나 관련 기관의 전·현직 원장, 연구원, 장관 후보자를 노렸다.

공격은 보안 관리가 허술한 틈을 노려 전자우편(이메일)으로 악성코드가 담긴 한글 문서 파일이나 행사 초청장을 보내는 식으로 주로 이뤄졌다.

전자우편은 정상적인 전자우편과 구분되지 않도록 명령제어(C&C) 서버를 사용해 보냈기 때문에 탐지가 어려웠던 것으로 보인다.

악성코드에 사용된 암호화 기법은 기존에 북한의 소행으로 알려진 악성코드와 상당히 비슷하고, 악성코드 개발 경로와 전자우편 명령어에 한글이 사용됐다고 하우리는 전했다.

북한 소행이 의심되는 부분이다.

전자우편 명령제어를 맡은 해커 조직 관리자의 인터넷 프로토콜 주소(IP)도 국내에서 북한 김정일 일가를 찬양하는 글을 올린 IP와 일치한다.

최상명 하우리 선행연구팀장은 "수년 전부터 북한으로 추정되는 해커조직들이 국내 정부 기관을 대상으로 사이버첩보활동을 하고 있어 문제를 공론화하고 효과적으로 대응할 방안을 찾으려고 공개하게 됐다"고 이번 발표의 배경을 설명했다.

이에 대해 정부 당국자는 "하우리가 분석한 35개의 악성프로그램을 분석한 결과, 국정원과 국방부를 포함한 해킹 대응기관이 이미 알고 있는 사항"이라고 해명했다.

한편 러시아의 유명 컴퓨터 백신 업체인 카스퍼스키랩의 한국 지사도 이날 국내 주요 기관을 노린 사이버 스파이 활동을 발견했다며 공격 주체가 북한과 관련이 있다고 밝혔다.

카스퍼스키랩에 따르면 사이버 스파이 활동은 'Kimsuky'로 불리며 통일부, 세종연구소, 한국국방연구원, 현대상선을 포함한 국내 주요 정부 기관과 기업을 노렸다.

공격 세력은 악성코드에 감염된 전자우편을 통해 자판(키보드) 입력 기록 정보, 디렉터리 목록, 한글 문서를 빼간 것으로 분석됐다.

악성 코드에는 '공격', '완성' 처럼 한국어 문자열이 포함됐다.

공격자의 IP주소는 북한과 연결된 인터넷 회선이 발견된 중국 업체로 나왔다.

카스퍼스키랩 관계자는 "4월 3일 스파이 활동의 초기 징후를 감지했고 5월 5일에 Kimsuky 트로이목마 샘플을 발견했다"며 "대한민국의 주요 기관을 대상으로 한 제한적이고 고도로 표적화된 공격"이라고 분석했다.

(서울연합뉴스) 오예진 기자 ohyes@yna.co.kr