최순실게이트 혼란노린 북한 사이버공격,이름이‘말대가리?’,언론보도후 뒤늦게 파악한 정부,비난여론

나라 전체가 ‘최순실 게이트’로 대혼란에 빠진 틈을 타 북한이 악성코드가 담긴 피싱메일을 유포, 남한에 대한 해킹공격에 나섰는데도 불구하고 사이버테러 전담부처는 악성코드유포 이후에도 이를 전혀 파악조차 하지 못했고, 거꾸로 언론이 먼저 보도하면서 정부가 북한 사이버공격을 뒤늦게 확인됐던 것으로 드러났다.

정부가 북한의 사이버공격 사실조차 모른 채 언론보도를 통해 공격 사실을 파악하고 부랴부랴 늦장 대응에 나서는 등 북한 사이버테러에 즉각 대응하지 못한 것으로 밝혀져 비판여론이 들끓고 있다.

실제 경기남부지방경찰청과 한국인터넷진흥원은 북한이 2014년 한국수력원자력을 해킹할 때 사용했던 기법과 동일한 스피어피싱 기법으로 지난 3일 악성코드를 심은 e메일을 유포, 남한에 대한 사이버 공격을 감행했다는 사실을 파악한 것은 북한전문 인터넷사이트인 데일리NK가 최초 보도한 내용을 토대로 했던 것으로 피치원 취재결과 22일 확인됐다.

이에 따라 북한의 사이버공격이 개시됐지만, 사이버테러 전담 정부부처가 즉각 탐지하지 못한 채 언론보도 이후 뒤늦게 실태 파악에 나서는 등 대응능력에 심각한 문제를 드러내고 있다는 지적이 강하게 제기되고 있다.

이번 북한 해커로 추정되는 스피어피싱 기법은 해킹계의 정밀 유도탄으로 불릴 만큼 타깃으로 삼은 표적에 대한 집요한 해킹공격으로 유명한 기법이다.

문제는 스피어피싱의 경우 특정인을 대상으로 하지만 ▶특정인이 속한 국가보안시설이나 중요한 사회 인프라를 관리하는 기관이나 단체에 대한 해킹을 시도한다는 점, ▶상황에 따라서는 심각한 피해와 정보유출이 우려되는 고도의 해킹기법이라는 점에서 향후 어떤 심각한 피해가 나올지 예측하기 힘들다는 게 보안전문가들의 진단이다.

■ 북한, 최순실게이트 호재, 정유라 빗대 악성코드 작성자‘말대가리’이름 사용

북한이 특정 단체와 기관을 노리고 특정인의 PC와 스마트폰을 좀비 PC로 만들기 위한 목적으로 유포한 이번 악성코드 사이버공격 사건은 3일 북한전문 인터넷사이트 데일리NK보도로 처음으로 알려졌다.

이후 지난 7일 경기남부경찰청에서 이를 파악, 한국인터넷진흥원에 긴급히 악성코드 분석을 의뢰했고, 한국인터넷진흥원이 9일 북한추정 악성코드가 숨겨진 스피어피싱이라고 분석해낸 것으로 밝혀졌다. 이후 백신업체를 통해 지난 11일께 스마트폰 패치작업을 전격적으로 실시, 피해 최소화에 나선 것으로 확인됐다.

국내의 한 북한 관련 단체 대표 명의로 발신된 이메일의 경우 ‘최순실 국정농단, 대통령 하야’ 등의 내용을 담은 ‘우려되는 대한민국’이란 제목의 한글 파일이 첨부된 것으로 밝혀졌다.

한국인터넷진흥원 침해사고분석단이 긴급히 분석한 결과 악성코드를 심는 기법 등이 기존 북한 해커가 자주 쓰는 수법과 거의 흡사한 것으로 확인됐고, 일단 감염되면 북한 해커의 지령을 받는 특정 서버에 연결돼 사실상 북한 해커가 마음대로 사용할 수 있는 좀비PC가 되는 것으로 밝혀져 심각한 피해가 우려된다.

한국인터넷진흥원에 따르면 이번 북한이 유포한 ‘말대가리(MalDaeGaRi)’라는 이름으로 설정된 한글파일 속 악성코드는 ▶일단 감염되면 북한 해커의 지령을 받는 특정 서버에 연결돼 좀비PC가 되고 ▶이후 북한 해커가 감염된 PC들에 추가 파일을 계속 송부 ▶추가 파일을 통해 감염확산 동작을 하도록 설계된 것으로 확인됐다.

북한 해커가 악성코드를 마지막으로 저장한 사람의 이름을 ‘말대가리(MalDaeGaRi)’로 설정한 것은 이대 승마특기생으로 입학해 국민적 공분을 사고 있는 최순실 씨의 딸 승마선수 정유라 씨 사건을 희화화하기 위해 ‘말대가리’명을 사용한 것으로 추정된다.

승마특기생으로 이화여대에 부정 입학한 승마선수 사건이 북한 해커에 의해 악성코드명으로 사용되는 웃지 못할 정황이 드러난 것이다. 북한 해킹 메일의 경우 내용은 없으면서 한글로 된 첨부파일이 있고 첨부파일 크기는 15~40KB이고, 공공기관 등을 사칭해 네이버, 다음, 네이트 주소로 발신되고 있다.

문제는 현재 ‘우려되는 대한민국’이란 한국파일명을 열어본 상당수 누리꾼이 북한 해킹에 감염된 좀비 스마트폰이나 PC로 지정돼 계속해 감염확산을 주도하는 숙주 PC 역할을 하고 있다는 사실이다.

이에 따라 현재 ‘우려되는 대한민국’이란 한국파일명을 열어본 경우 즉각 관련 기관에 신고를 해야 하며, 만약 이미 북한 해커가 조정하는 좀비PC로 전락한 PC나 스마트폰을 소지한 특정인이 국가 안보와 직결되는 항만이나 항공, 원자력발전소, 국가 행정부처, 국방 관련시설 및 기관 등에 재직할 경우 심각한 추가 피해가 우려되는 상황이다.

한국인터넷진흥원 심재홍 종합분석팀장은  “현재로써는 피해 규모를 상정하기 힘들며 좀비PC가 얼마나 생성됐는지는 사건이 외부로 불거졌을 경우에만 파악할 수 있다”고 밝혀 사태가 얼마나 확산할 지는 예측하기 힘든 실정이다.

■ 스피어피싱이란 

스피어 피싱(Spear Phishing)은 작살로 물고기를 잡는 ‘작살 낚시(Spear Fishing)’에서 유래한 말로, 스피어와 ‘피싱(Phishing)의 합성어다. ‘불특정 다수가 아닌 특정인(조직)을 표적으로, 신뢰할 만한 발신인이 보낸 것처럼 위장한 메일을 발송, 악성 웹 사이트로 유도하거나 악성코드에 감염시키는 기법이다.

스피어피싱이 무서운 것은 해킹계의 정밀유도탄이라 할 만큼 특정 개인이나 조직을 집요하게 공격한다는 점이다. 한국수력원자력 해킹사건 등 국내 중요 국가기관 자료유출사건이 모두 이런 북한의 스피어피싱 기법에 당한 케이스다.

문제는 북한 해커가 최순실 게이트와 정유라 사건 등 시국 상황을 사이버공격에 적절히 활용하고 있다는 점이다. 실제 ‘우려되는 대한민국’한글 파일의 경우 절대로 열어 봐선 안 되는 악성코드가 숨겨진 파일임에도 불구하고 최근 최순실 정국과 관련해 무차별적으로 이를 열어보는 누리꾼들이 속출하고 있는 것으로 알려져 추가 피해가 우려된다.

경기남부경찰청과 한국인터넷진흥원에 따르면 현재 초기 상태라 피해 규모가 그리 크지 않지만, 북한 해커가 원격 조정하는 좀비PC로 전락할 경우 개인정보탈취, 기관정보탈취, 디도스 공격의 도구로 활용될 수 있다는 점에서 추가 피해도 우려되는 상황이다.

한국인터넷진흥원은 해당 이메일 외에도 공공기관 등을 사칭, 포털 주소로 발신되는 이메일에 내용이 없는 15~40KB 크기로 첨부된 한글파일은 절대 열어보지 말 것을 당부했다.