한국 기업을 상대로 한 북한 배후 추정 해커 조직 ‘귀신(GWISIN)’의 공격이 이어지고 있다. /안랩 제공
한국 기업을 상대로 한 북한 배후 추정 해커 조직 ‘귀신(GWISIN)’의 공격이 이어지고 있다. /안랩 제공
최근 국내 한 기업 C레벨(최고책임자)급 임원은 거래처에서 보낸 것 같은 이메일을 열었다. 메일에는 거래 명세서로 보이는 사진 파일이 있었다. 그는 별다른 의심 없이 파일을 확인했다. 순간 회사의 핵심 데이터가 북한의 지원을 받는 것으로 추정되는 해커조직 ‘GWISIN(귀신)’의 손아귀로 넘어갔다. 데이터에 모두 암호가 걸리면서 열 수 없게 됐다. 귀신은 암호를 해제하기 위해서는 325만달러 상당의 암호화폐를 지급하라고 요구했다. 유출 데이터의 외부 판매를 막기 위해선 650만달러, 보안 취약점 분석 보고서를 받고 싶다면 700만달러를 내놓으라고 했다.

북한이 간첩들에게 지령을 보낼 때 사용했던 ‘스테가노그래피’가 신종 해킹 수법으로 진화했다. 스테가노그래피는 영상이나 사진에 메시지를 숨기는 것을 말한다. 한국 기업만을 노리는 해커조직 귀신은 데이터를 암호화해 인질로 잡고 협상금을 요구한다.
'귀신'이 보낸줄 모르고 파일 클릭…수백만弗 날린다
2일 한국인터넷진흥원(KISA) 인터넷침해대응센터(KISC)에 따르면 지난해 한국 기업의 해킹 피해 신고 건수는 1142건이다. 2021년(640건) 대비 거의 두 배 증가했다. 특히 랜섬웨어 신고 건수는 2019년 39건에서 작년 325건으로 열 배 가까이 늘었다.

랜섬웨어는 몸값을 뜻하는 랜섬과 악성 코드를 뜻하는 멀웨어의 합성어다. 사용자 동의 없이 시스템에 설치돼 파일을 모두 암호화한 뒤 인질로 잡고 돈을 요구하는 악성 프로그램이다. 심재홍 KISC 단장은 “암호화폐 보급과 함께 랜섬웨어 공격으로 돈을 벌 수 있다는 인식이 해커조직 사이에 퍼지면서 피해가 커지고 있다”고 말했다.

랜섬웨어를 심는 수법은 다양하다. 최근에는 스테가노그래피 기법이 많다. 예를 들어 회사 로고(CI)로 보이는 그림 파일 안에서 색을 구성하는 코드 뒤에 숫자 ‘1’ 또는 ‘0’을 추가해 별도의 명령어를 만든다. 사용자가 그림 파일을 열면 전체 명령어가 실행된다. 대부분의 보안 프로그램이 속도 저하를 이유로 사진이나 영상을 꼼꼼하게 검색하지 않는다는 약점을 파고든다.

귀신은 북한의 지원을 받는 해커조직으로 추정된다. 귀신 랜섬웨어가 한국 기업을 겨냥해 한글로 맞춤형 제작되고, 한국 공휴일 새벽시간을 이용해 공격해오기 때문이다. 국내 대형 제약사, 정보기술(IT) 기업, 금융회사들이 잇따라 공격당한 것으로 알려졌다.

사회적 이슈를 이용해 랜섬웨어를 심는 수법도 급증했다. 이태원 참사가 대표적이다. 정부 공식 보고서로 위장한 MS워드 문서 형식 악성 코드 ‘★서울 용산 이태원사고 대처상황(06시).docx’가 작년 10월 말 빠르게 유포됐다. 문서 파일 자체는 보안 프로그램의 감시망을 피했다. 파일이 실행되고 나서야 MS 공식 홈페이지 주소로 위장한 외부 인터넷망에 연결돼 추가 악성 코드를 가져오기 때문이다.

이렇게 심어진 악성 코드는 키로깅(키보드로 PC에 입력하는 내용을 가로채는 행위), 시스템 정보수집, 정보 유출 등 임무를 했다. 코로나 바이러스 대응 보고서로 위장하거나 20대 대통령 선거 관련 보도자료로 위장한 악성 코드도 있었다. 이런 자료에선 북한 공식 담화문 등에서 주로 쓰는 단어인 ‘불비’ 등이 발견됐다. 북한 해커조직의 소행이란 방증이다.

전문가들은 신원을 알 수 없는 발신자의 메일 첨부파일은 절대로 열지 말라고 조언했다. 곽경주 S2W랩 위협분석센터장은 “어떤 사용자의 접속도 신뢰할 수 없다고 가정한 보안체계와 신속한 2중, 3중 복구체계를 평소에 구축해야 한다”고 말했다.

김진원 기자 jin1@hankyung.com