"中지원 해커에 군 전산망 뚫렸다"…네덜란드, 해킹 사실 공개

강경주 기자

입력2024.02.07 14:25 수정2024.02.07 14:59

네덜란드 군 정보당국이 지난해 중국 정부 지원을 받은 해커들에 의한 군 전산망 해킹 사실을 공개했다.

6일(현지시간) 블룸버그와 로이터 통신 등에 따르면 네덜란드 당국은 이날 성명에서 중국의 악성 코드가 한 연구용 컴퓨터에서 발견됐다고 밝혔다. 발견된 악성코드는 원격 작업을 가능하게 한 컴퓨터 시스템의 취약점을 이용해 원격으로 염탐을 시도했다고 당국은 설명했다. 다만 해당 악성코드가 군의 방어 전산망에는 손상을 입히지 않았다고 부연했다.

로이터는 네덜란드가 사이버 스파이의 배후에 중국이 있다고 공개적으로 밝힌 건 이번이 처음이라고 보도했다. 카샤 올롱그렌 네덜란드 국방장관은 "중국의 스파이 활동을 공개하는 것은 국제 대응력을 높이는 데 도움이 되기 때문에 공개하는 것이 중요하다"고 말했다.

중국의 지원을 받은 해커 그룹의 해킹 소식은 빈도가 증가하는 추세다. 전날엔 일본 요미우리신문이 복수의 일본 정부 관계자를 인용해 2020년 외무성 본부와 해외 대사관·영사관 간 정보를 주고받는 '외교 전문(電文)' 전산망이 중국에 의해 해킹됐다고 보도했다.

요미우리신문은 "당시 유출된 기밀 정보의 내용은 불확실하지만 베이징에 있는 일본 대사관과 외무성이 주고받은 전문과 공문서 상당수를 중국 당국 측이 입수해 읽고 있었던 것으로 보인다"며 "공문서 중에서도 특히 기밀이 요구되는 외교전문 시스템이 뚫린 것은 극히 이례적인 일"이라고 지적했다.

강경주 기자 qurasoha@hankyung.com

관련 뉴스

1

"중국에 당했다" 발칵 뒤집힌 日…한국도 '초긴장' [강경주의 IT카페]

일본 외무성의 '외교 전문(電文)' 시스템이 중국의 사이버 공격에 뚫린 사실이 뒤늦게 드러났다고 외신이 보도했다. 해당 시스템은 일본의 재외공관과 기밀 정보를 주고 받는 채널이어서 다량의 기밀이 중국에 넘어갔을 가능성이 제기되고 있다.6일 일본 요미우리신문은 복수의 일본 정부 관계자를 인용해 2020년 외무성 본부와 해외 대사관·영사관 간 정보를 주고받는 '외교 전문' 전산망이 중국에 의해 해킹됐다고 보도했다. '외교 전문'이란 외교를 담당하는 정부부처와 해외공관이 공식적인 지시와 보고를 주고받을 때 사용하는 전보를 말한다. 외교관이 외국 정부로부터 얻은 극비 정보 등 각종 기밀사항을 포함하고 있는 만큼 특수암호를 사용한다. 1급 기밀로 취급되기 때문에 통상의 인터넷망과는 다른 '국제 IPVPN(인터넷 프로토콜 가상 사설망)'이라는 별도 보안망을 사용한다.요미우리신문은 "당시 유출된 기밀 정보의 내용은 불확실하지만 베이징에 있는 일본 대사관과 외무성이 주고받은 전문과 공문서 상당수를 중국 당국 측이 입수해 읽고 있었던 것으로 보인다"며 "공문서 중에서도 특히 기밀이 요구되는 외교전문 시스템이 뚫린 것은 극히 이례적인 일"이라고 지적했다.당시는 아베 신조 정권 말기로 중국의 부상에 따라 일본이 안보전략을 수정하고 '적 기지 공격능력(반격능력)' 보유를 검토하기 시작한 때다. 요미우리신문은 이런 배경을 언급하며 "중국이 외교 전문을 표적으로 삼은 이유는 일본 정부의 안보전략 검토상황과 미·일 양국이 공유하는 중국 관련 기밀정보를 빼내려는 의도가 있었던 것으로 보인다"고 분석했다.보도에 따르면 중국의 해킹을 파악한 미국은 일본에 폴 나카소네 미국 국가안보국(NSA) 국장을 급파해 긴급 회의를 가졌다. 매체는 "일본 정부와 기밀 정보를 공유하는데 대한 우려가 미국 내부에서 나왔다"고 전했다. 일본 외무성은 사이버 공격 피해 여부 등을 포함해 요미우리신문의 확인 요구에 응하지 않은 것으로 전해졌다. 외교 전문을 관리하는 일본 외무성 정보통신과는 "본건은 정보 보안상의 이유로 답변을 삼가겠다"고 매체에 밝혔다.일본은 이후 외무성과 함께 방위성, 경찰청, 공안조사청, 내각정보조사실이 시스템을 점검하고 취약성이 있는 프로그램을 개선했다. 미일 양국은 개선 진행 상황을 공유했으며, 미국 측은 계속 점검 및 각별한 강화 작업을 요구한 것으로 전해졌다. 지난해 8월 미 워싱턴포스트(WP)는 2020년 말 일본 정부의 기밀 안보 정보망이 중국 해커들의 공격을 받아 다량의 정보가 무차별로 노출됐다고 보도했지만 당시 외교 전문 시스템이 뚫렸다는 사실은 이번에 처음 알려졌다.일본 정부에 대한 중국의 해킹은 이번이 처음이 아니다. 2021년에는 중국 정부를 대리하는 해커 집단을 포함한 최소 2개 해커 집단이 미국과 일본 국방 기업, 연구 기관을 해킹했다는 의혹이 사이버 보안 업체에 의해 제기됐다.지난해 11월 일본 우주항공연구개발기구(JAXA)가 사이버 공격을 받아 내부 네트워크에 부정 접속이 이뤄졌을 가능성이 높다고 일본 정부가 밝힌 사건에 대해서도 중국이 배후로 지목됐다. JAXA는 미국의 유인 달 탐사 프로젝트인 '아르테미스 계획'에도 참여하고 있다.각 분야에서 지정학적 불확실성이 높아진 가운데 사이버 공간에서 국가 지원을 받는 해킹 그룹 활동이 눈에 띄게 증가한 만큼 대한민국 정부도 대비를 강화해야 한다는 지적이 나온다. 보안업계 관계자는 "중국 뿐만이 아니라 북한, 러시아, 이란 등의 지원을 받는 해킹 그룹 활동이 곳곳에서 포착되고 있다"며 "첩보 활동을 넘어 교통과 통신, 전력 등 주요 기반 시설을 마비시키려는 사이버 공격이 앞으로 더 고도화된 형태로 나타날 것"이라고 말했다.강경주 기자 qurasoha@hankyung.com
2

"김정은이 진두지휘" 심상찮은 北…'호시탐탐' 한국 노린다 [강경주의 IT카페]

지난해 국제 해킹조직의 국내 공공기관 공격 시도가 전년 대비 36% 급증한 것으로 나타났다. 특히 북한과 중국발 공격이 두드러져 특단의 대책이 시급하다는 지적이다. 국가정보원은 북한 해킹 고도화, 중국의 사이버 위협에 따른 국내 여론전 확대 등에 대비해 올해 경계수위를 높인다는 방침이다.해킹 시도 2022년 119만건→지난해 162만건 대폭 증가국정원은 24일 경기도 성남시 국가사이버안보협력센터에서 기자간담회를 열고 북한 중국 등 해외발 사이버 공격 사례와 대비 태세를 설명했다. 이날 국정원은 지난해 공공분야를 대상으로 하루 평균 162만건의 국가 배후 및 국제 해킹조직의 공격 시도를 탐지했다고 밝혔다. 이는 2022년 119만건에서 무려 36%나 증가한 수치로, 집계에서 민간 영역은 제외됐다. 실제 사이버 공격은 이보다 훨씬 많을 것이라는 게 국정원 분석이다. 공격 주체별로는 북한이 80%로 가장 많았다. 중국은 5%, 러시아 등 기타가 14%였다. 특히 중국은 사건별 피해 규모·중요도·공격 수법 등을 감안한 피해 심각도를 반영할 경우 21%로 높아졌다. 이 경우 북한은 68%를 기록했다.국정원 분석에 따르면 북한 해킹조직은 김정은 국무위원장의 지시와 관심에 따라 속도감 있게 공격 목표를 변경하는 행태를 보였다. 지난해 초반 김 위원장이 식량난 해결을 지시하자 국내 농수산 기관을 집중적으로 공격하다가 8~9월 김정은이 해군력 강화를 강조하자 국내 조선업체를 해킹해 도면과 설계자료를 훔쳤다. 10월에는 김 위원장의 무인기 생산강화 지시에 발맞춰 국내외 관련 기관에서 무인기 엔진 자료를 수집한 사례가 확인됐다.북한은 우방국인 러시아 방산업체를 대상으로도 여러 차례 해킹을 시도해 방산기술을 절취하는 등 피아 구분이 없는 모습을 보였다. 금전 탈취 공격의 경우 은행 보안시스템이 강화되면서 가상자산거래소 위주로 공격 대상을 변경했다. 최근에는 개인 보유 가상자산으로 탈취 대상을 확대하고 있다.북한 해킹조직원의 3배에 달하는 정보기술(IT) 외화벌이 조직원들은 주로 신분증과 이력서를 위장해 선진국 등 IT 개발업체에 취업하거나 업체로부터 수주한 후 자신이 개발한 소프트웨어(SW)에 악성코드를 은닉해 개발업체가 보유한 가상자산을 탈취하거나 랜섬웨어를 유포해 금전을 갈취했다.뿐만 아니라 북한에서 생성형 AI를 활용해 해킹 대상을 물색하고 해킹에 필요한 기술을 검색하는 정황도 확인됐다. 아직 실전에 활용되지는 않은 것으로 관측됐다.백종욱 국가정보원 제3차장은 "북한은 '민족', '통일' 단어 개념 삭제와 대남 기구 축소·폐지를 운운하며 대한민국을 적대국으로 규정하는 등 노골적으로 위협 수위를 높이고 있다"며 "사이버상에서는 남북 관계가 경색되고 대남 비난 강도가 높을 때 공격이 뒤따라왔음을 잊지 말아야 한다"고 경계를 주문했다."중국 사이버 위협은 은밀한 방식"중국의 사이버 위협은 북한과는 달리 은밀한 방식으로 이뤄지고 있다. 수년 전 중국 해커가 A업체의 서버를 해킹한 후 공개 SW로 위장한 악성코드를 숨겨놓은 것이 대표적이다. 이후 오랫동안 별다른 활동이 없다가 수년에 걸쳐 여러 기업 해킹에 악성코드를 활용했다. 국정원은 공격 징후를 포착해 악성코드 제거 및 피해확산 방지 조처를 했다.중국 추정 해킹으로 위성통신망을 활용한 침입도 일어났다. 해커는 위성통신의 신호를 수집·분석한 후 정상적인 시스템 접근을 위장했다. 위성망 관리시스템을 거친 정부 행정망 침투 시도가 있었지만 조기 차단됐다. 국정원은 "국가 위성통신망을 대상으로 한 최초의 해킹 사례"라며 "전국 위성통신망 운영 실태를 종합 점검하여 문제점을 개선 중"이라고 했다.국정원은 국내 여론을 움직이기 위한 중국의 시도가 이어지고 있다고 우려했다. 중국의 언론홍보 업체들이 국내 언론사로 위장한 사이트 200여개를 개설해 친중 반미 성향의 콘텐츠를 올렸다 것이다. 이 게시물들은 소셜미디어(SNS)의 인플루언서를 통해 확산 중인 정황도 국정원에 포착됐다.국정원은 "문체부를 통해 저작권법 위반에 따른 사이트 접속차단을 추진 중"이라며 "법을 적용하려면 피해 언론사의 직접적인 신고가 있어야 하기 때문에 언론의 관심과 협조가 절실하다"고 당부했다.다양한 형태의 해킹 가능성…보안 강화 나선 국정원국정원은 관계기관과 협력을 통해 선거철 정부 흔들기를 위한 공격에 대응하고 전문 연구소 설립을 통해 방안을 강구할 계획이다. 우선 국정원은 전날 시작된 선거관리위원회의 합동 보안점검 후속 보안 조치의 적절성 여부 확인에 착수했다. 선관위가 지난해 7~9월 국정원, 한국인터넷진흥원(KISA)과 진행한 3자 합동 보안점검 결과 외부에서 선관위 투·개표 관리 시스템에 언제든 침투할 수 있는 등 해킹 취약점이 다수 발견됐다.북한 해킹그룹의 대법원 전산망 해킹 의혹과 관련해서는 피해 범위와 공격 주체 등을 파악하기 위한 전담반을 편성해 지난 22일부터 법원행정처와 함께 현장 조사를 진행하고 있다.지난해 악성코드에 감염된 중국산 기상관측 장비가 기상청에 납품된 것과 관련해선 공공기관 도입 IT 제품에 대한 보안적합성 검증 체계를 개선해 공급망 보안을 강화한다는 방침이다. 해킹 사고 시 파급력이 큰 CCTV·이메일 SW 등도 보안 기능 확인서를 발급받을 수 있도록 검증 대상에 포함하고 업계의 공급망 보안 향상 노력도 보안 기능 시험제도에 반영할 계획이다.국정원은 행정전산망 마비 같은 디지털 장애에 대해서도 해킹 가능성 등을 열어두고 안보 관점으로 대응하기 위한 체계도 새로 마련했다. 또 국가안보실, 디지털플랫폼정부위원회, 개인정보보호위원회 등 관계기관과 산업계·학계·연구계 사이버안보 전문가로 구성된 '민관 합동, 망 보안정책 개선 TF'를 발족해 데이터 활용과 보안성, 업무 중요도를 반영한 다층 보안 체계 전환과 등급별 보안 정책을 마련 중이다.이밖에도 △양자내성암호 기술 개발 지원 △국제 사이버안보 행사 개최 △국제 사이버훈련센터 구축 △국가안보기술연구원 등 연구·개발 기반 강화 등의 사이버 안보 정책을 추진할 예정이다. 백종욱 국가정보원 제3차장은 "선거 시스템 해킹, 가짜뉴스 유포, 중국의 영향력 공작 등 대비가 절실한 시점"이라며 총선을 노린 북한의 사이버 공작을 대비해야 한다고 경고했다.성남=강경주 기자 qurasoha@hankyung.com
3

삼성이 꼽은 사이버 보안 화두…"'사기GPT'로 공격 시도"

올해 사이버 보안 영역에서는 인공지능(AI)을 악용한 해킹이 최대 화두로 떠오를 것이라는 분석이 나왔다.삼성SDS는 정보기술(IT), 제조, 금융, 운송, 회계 분야 등의 국내 대기업과 공공 부문 보안 전문가 700여 명의 설문 결과를 토대로 올해 주목해야 할 5대 사이버 보안 위협을 선정했다면서 23일 이같이 밝혔다.구체적으로 △AI를 악용한 보안 위협 △하이브리드 환경에서의 클라우드 보안 위협 △개인·민감 정보 유출 △지속해서 진화하는 랜섬웨어 △공격 대상 확장에 따른 네트워크 보안 위협을 5대 위협으로 제시했다.특히 삼성SDS는 해커가 '웜 GPT'(WormGPT·챗GPT의 다크웹 버전)와 '사기 GPT'(FraudGPT·AI 기반의 피싱 도구) 등을 악용해 손쉽게 대량으로 악성코드를 제작하며 사이버 공격을 시도하고 있다고 지적했다.그러면서 기업에서는 이런 공격에 대응하기 위해 AI를 적용한 악성코드 분석과 위협 자동 식별 등의 방어 기술을 확보해야 한다고 덧붙였다.기업 맞춤형 하이브리드 환경의 경우 보안 구성과 관리 영역이 복잡해 보안 취약점 발생 가능성이 높고, 데이터 유출 경로와 공격 방법의 다양화로 유출된 개인·민감 정보가 다크 웹에서 거래돼 2차 피해가 발생하고 있다고 알렸다.변상경 삼성SDS 보안기술실장(상무)은 "생성형 AI, 클라우드 등 복잡한 업무 환경에 따른 보안 위협은 전사적 위기관리 관점에서 대응해야 한다"며 "보안 강화를 위한 제로트러스트(보안 지속 검증) 기반의 솔루션과 서비스 도입은 기업 경영의 필수 요소"라고 강조했다.강경주 기자 qurasoha@hankyung.com