앵커 : 최근 한국 국가정보원이 개인용 컴퓨터(PC) 1000만 대에 설치돼 있던 보안프로그램의 취약점을 활용한 북한의 해킹을 포착한 가운데 과거에도 이 같은 유형의 공격이 지속돼 왔던 것으로 알려졌습니다. 최근 한반도의 긴장을 높이는 북한이 사이버상에서 대규모 대남 테러를 감행할 수 있다는 우려도 제기되고 있습니다. 서울에서 목용재 기자가 보도합니다.
한국의 전자금융감독규정에 따르면 금융회사나 전자금융업자는 해킹 등으로 인한 사고를 방지하기 위해 정보보호시스템을 설치, 운영해야 하는데 금융회사 등은 이를 위해 대부분 설치형 보안·인증 프로그램을 채택하고 있습니다.
개인 컴퓨터(PC)를 이용해 온라인으로 민간 금융사나 공공기관의 서비스를 한 번이라도 이용했다면 PC에 보안·인증 프로그램이 설치돼 있는 셈인데, 북한이 해당 프로그램들의 취약점을 활용해 이른바 ‘좀비 PC’를 확보할 경우 그 피해 규모는 막대할 것이라는 게 전문가들의 지적입니다.
27일 북한의 해킹을 전문적으로 추적, 연구하는 민간단체인 ‘이슈메이커스랩’의 자료에 따르면 북한은 2007년경부터 최근까지 한국 내 14개 업체가 제작하는 보안·인증 프로그램 18개의 취약점을 찾아 공격을 시도했습니다. 지난 3월 국가정보원이 북한의 취약점 활용 사례로 발표한 이니텍의 프로그램, 이니세이프도 여기에 포함됩니다.
이슈메이커스랩에 따르면 지난 2007년부터 2018년까지 북한이 보안·인증 프로그램의 취약점을 활용해 공격을 시도한 사례는 13건, 2019년부터 2021년까지는 1건, 2022년부터 최근까지는 4건입니다. 최근 들어 급증하는 추세입니다.
2019년부터 2021년까지의 경우 인터넷 사용의 통로인 웹 브라우저가 ‘인터넷 익스플로러’에서 ‘크롬’ 기반 웹 브라우저로 바뀌는 과도기였기 때문에 북한의 취약점 공격 시도가 줄어들었던 것으로 분석됩니다.
이 같은 유형의 공격은 보안·인증 프로그램을 갱신할 때까지 상시적으로 위협에 노출된다는 점에서 더 위험합니다.
사이먼 최 이슈메이커스랩 대표는 27일 자유아시아방송(RFA)과의 통화에서 “대중이 크롬 기반 웹브라우저를 사용하기 시작한 이후 북한도 이에 대한 분석을 진행하면서 일정 기간 보안·인증 프로그램에 대한 취약점 공격이 줄어들었다”며 “2022년부터 북한이 크롬 기반 프로그램의 분석을 끝내고 이 같은 유형의 공격을 늘린 것으로 보인다”고 분석했습니다.
사이먼 최 이슈메이커스랩 대표 : (남한) 국민들의 PC에 많이 설치돼 있는 (보안·인증) 프로그램의 취약점을 이용해서 악성코드를 배포할 수 있는 공격입니다. 그러다보니 많은 사용자들이 감염될 수 있고 이를 통해 시스템을 파괴하거나 랜섬웨어를 뿌리면 정말 큰 피해가 발생할 수 있습니다.
손상일 세종대 정보보호학과 교수도 자유아시아방송(RFA)에 “북한이 과거 PC 백신 서버를 해킹해 손쉽게 이용자들을 공격할 수 있도록 시도한 사례가 있다”며 북한이 향후 추가적으로 보안·인증 프로그램의 취약점을 활용하면 유사시 핵폭탄보다 위협적일 것이라고 경고했습니다.
손상일 세종대 정보보호학과 교수 :이런 위협이 가장 위험하기도 하고 차단하기도 어렵습니다. 불특정 다수 국민들이 가장 많이 사용하는 프로그램이 위협에 노출돼 있으면 유사시에 PC를 마비시키면 문제가 됩니다. 피해자들이 한두명이 아니라 엄청나게 많은 사람들일 건데요. 이렇게 되면 핵폭탄보다 더 위협적이라고 얘기를 합니다.
익명을 요구한 보안 전문가도 “북한이 새로운 도발 수단을 개발하려는 상황에서 보안 프로그램 취약점을 활용한 대규모 사이버테러가 새로운 선택지가 될 수 있다”고 강조했습니다.
북한이 보안·인증 프로그램의 취약점을 활용해 대규모 피해가 발생할 수 있었던 실례는 지난 3월 한국 국정원이 전격적으로 밝힌 바 있습니다.
해당 사건은 북한이 한국의 보안업체가 제작한 프로그램, 이니세이프의 취약점을 활용한 것으로 한국의 공공기관, 방산, 바이오업체 등 주요기관 60여 곳의 PC 210대가 해킹을 당한 선에서 정리됐습니다. 하지만 북한이 불특정 다수에 대한 대규모 사이버테러의 목적을 갖고 있었다면 해당 프로그램이 설치돼 있었던 PC 1000만 대 가량에 대한 대규모 피해가 발생했을 수 있었다는 게 수사 당국과 보안 전문가들의 지적입니다.
경찰청 국가수사본부 관계자는 자유아시아방송(RFA)과의 통화에서 북한이 최대한 많은 좀비 PC, 즉 PC의 제어권을 확보하려 했던 사례라고 설명했습니다. 이 관계자는 “보안·인증 프로그램의 취약점과 특정 웹사이트가 연동돼야 공격이 이뤄지는 방식으로, 탐지가 어려웠다”고 말했습니다. 북한이 최대한 은밀하게 좀비 PC를 확보하려 했다는 겁니다.
한국 내 보안업체인 안랩도 지난 3월 예티소프트사와 드림시큐리티사가 각각 제작한 공인인증 프로그램(VestCert, MagicLine4NX)의 취약점을 활용한 북한의 공격을 경고한 바 있습니다.
한국 내 보안 전문가들은 보안·인증 프로그램의 취약점을 활용하는 북한의 사이버테러를 사전에 예방하는 것은 쉽지 않다고 입을 모읍니다. 현재로서는 금융사나 공공기관의 서비스를 이용한 뒤 설치했던 프로그램들을 일일이 찾아 삭제하는 것이 가장 좋은 방법이라고 말합니다.
보안 업계에서는 PC 설치형 보안 프로그램이 아닌 서비스를 이용할 때만 활성화되는 프로그램의 확산이 필요하다는 지적도 나옵니다. 사이먼 최 이슈메이커스랩 대표의 말입니다.
사이먼 최 이슈메이커스랩 대표 :웹 브라우저에서만 보안 조치를 하게 되면 사용자가 사이트에 접속했을 때만 보안이 가동되고 해당 사이트를 벗어나면 사용자 PC에는 어떤 프로그램도 남지 않기 때문에 잠재적인 취약 요소가 없어지게 되는 것이죠.
손상일 세종대 정보보호학과 교수는 보안·인증 프로그램의 취약점이 발견될 경우 이를 정부 당국과 보안업체, 민간까지 신속히 공유하는 체계가 작동해야 한다고 강조했습니다. 손 교수는 “인공지능 등을 활용해 이런 취약점을 더 빨리 찾아내고 해결하는 기술 도입이 필요하다”고 말했습니다.
일각에서는 북한이 보안·인증 프로그램을 공격의 창구로 사용하고 있어 보안 프로그램의 무용론이 제기될 수 있다는 우려도 나옵니다.
익명을 요구한 보안 전문가는 “보안 목적으로 설치를 사실상 강제하는 프로그램들이 공격의 창구로 활용되는 모순적인 상황에 업계는 답답한 상황”이라며 “하지만 북한의 해킹 공격에 대응할 수 있는 기본적인 수단은 보안 프로그램이라는 점은 분명하다”고 강조했습니다.
이어 이 전문가는 “북한의 목적은 보안·인증 프로그램이 아니라 많은 사람들이 사용하는 프로그램의 취약점을 찾으려는 것”이라며 “북한이 취약점을 찾아내면 업계는 이를 보완하는, 창과 방패의 싸움이 계속되고 있다”고 덧붙였습니다.
기자 목용재, 에디터 양성원, 웹팀 김상일