앵커: 미국 정부가 북한 해커들이 방위산업체 등 국방∙항공∙우주 산업 공격에 사용한 악성코드를 공개했습니다. 양희정 기자가 보도합니다.
미국 국토안보부 산하 사이버보안∙인프라안보국(CISA)과 연방수사국(FBI)이 북한 해커들이 사용하는 블라인딩캔(BLINDINGCAN)이라는 악성코드 변종에 대해 경고하는 보고서(MAR)를 발간했습니다.
19일 발표된 이 보고서는 블라인딩캔이 첨부 파일을 통해 피해 컴퓨터에 잠입해 원격제어로 각종 정보를 유출시키거나 피해 컴퓨터의 시스템을 파괴할 수 있는 북한 정권이 사용하는 악성코드(RAT)라고 소개했습니다.
미 연방수사국은 북한 정권과 연계된 해킹 조직이 올해 초 주요 군사∙에너지 기술과 관련된 정보를 수집하기 위해 정부 하청업체를 공격 대상으로 삼았다고 밝혔습니다.
주요 국방 분야 하청업체들의 구인광고를 가장한 악성코드를 심은 문서를 미끼로 피해 컴퓨터에서 정보를 수집했다는 것입니다.
(A threat group with a nexus to North Korea targeted government contractors early this year to gather intelligence surrounding key military and energy technologies. The malicious documents employed in this campaign used job postings from leading defense contractors as lures and installed a data gathering implant on a victim's system.)
블라인딩캔은 감염된 컴퓨터의 정보와 내부 파일을 검색하거나 전송하는 등의 기능을 수행할 수 있습니다.
사이버보안∙인프라안보국과 연방수사국은 네트워크 즉 인터넷망을 방어하고 북한 악성사이버활동에 의한 피해를 줄이기 위해 보고서에 네트워크 침해 징후를 살펴볼 수 있는 침해 지표와 기술적 세부사항을 소개했습니다.
이와 관련해 세계적 보안업체 파이어아이의 자회사인 맨디언트 위협 인텔리전스(Mandiant Threat Intelligence)의 프레드 플랜(Fred Plan) 선임분석관은 자신들이 지난 4월부터 추적해 온 큐트룹(CUTELOOP)과 에어드라이(AIRDRY)와 블라인딩캔이 일치하는 것으로 보인다고 20일 자유아시아방송(RFA)에 보낸 전자우편에서 밝혔습니다.
미국 민주주의수호재단(FDD)의 매튜 하(Mathew Ha) 연구원은 이날 자유아시아방송(RFA)에 앞서 미국의 맥아피(McAfee)와 이스라엘의 클리어스카이(ClearSky)와 같은 사이버 보안업체들이 최근 발표한 내용과 맥락을 같이하는 미국 정부 차원의 경고라고 설명했습니다.
하 연구원: 미국 정부가 직접 나서서 자체적으로 수집, 파악한 북한의 사이버 위협에 대한 취약성을 전 세계 방위∙항공 업체들에게 알린다는 점에서 매우 중요합니다. 맥아피의 '오퍼레시션 노스 스타(Operation North Star)'와 클리어스카이의 '오퍼레이션 드림잡(Operation Dream Job)' 등의 보고서들은 북한이 위장 구인 절차를 따르는 것처럼 보이는 매우 사실적이고(realistic) 정교한 사회 공학적 해킹 방식을 이용한 방위산업체 대상 공격을 늘리고 있다는 점을 지적한 바 있습니다.
사회 공학적 해킹이란 기술적 해킹 기법이 아니라 사람의 심리나 취약점을 공략해 원하는 정보를 얻는 공격기법을 말합니다.
예를 들어, 북한 해커들은 악성코드가 담긴 문서를 유포하기에 앞서 인터넷 메신저 '왓츠앱' 등을 통해 직접 표적 대상과 문자를 주고 받거나 전화로 연락을 취하는 등의 대담함을 보이기도 했다고 클리어스카이는 보고서에서 밝혔습니다.
클리어스카이는 북한의 방위산업체 해킹은 기밀정보를 빼내거나 북한 정권의 핵프로그램 자금을 탈취하는 두 가지 목적이 있다고 분석했습니다.
앞서 미국 육군은 지난달 말 미국의 대북 대응작전 지침을 다룬 보고서에서 해외에서 활동하는 북한 관련 해커가 6천 명 이상이 될 것이라며 북한의 사이버 능력에 대한 우려를 제기하기도 했습니다.