국가 주요 기관 및 연구 기관 등을 대상으로 수년간 정보수집을 위한 사이버첩보 활동을 수행한 조직의 활동이 공개됐다. 북한으로 추정되고 있는 이 조직은 2011년부터 3년간 약 수백명을 대상으로 정보수집 악성코드 공격을 했으며, 일부 실제 감염된 대상으로부터 기밀정보들을 외부로 유출한 정황이 드러났다.
 
공격 대상은 △ 국방, 외교, 통일 관련 정부 부처 △ 국방, 외교, 통일 관련 연구기관 전/현직 원장 대상 △ 국방, 외교, 통일 관련 연구기관 연구원 △ 전/현직 외교관 및 해외 주제국 대사 △ 예비역 장성 △ 장관 후보자 △ 국방, 외교, 통일 관련 자문위원에 속한 교수 △ 탈북자 관련 단체 및 탈북자 등으로 파악됐다.

 
해당 조직의 정보를 공개한 하우리 선행연구팀 최상명 팀장에 따르면, 이들은 정보수집을 위한 악성코드를 감염시키기 위해 주로 한글 문서 취약점을 이용해 대상의 이메일로 한글 문서를 첨부파일 형태로 전달했으며, 대부분 감염 당시 패치가 존재하지 않는 제로데이 취약점을 이용했다.
 
특히, 각각의 대상에 맞춤형 내용으로 국방 관련자에게는 국방관련 행사 초청 내용 등으로, 연구기관 등에는 관련 연구 논문 및 연구 주제 등으로 전달했다. 또한 해외 주제국의 대사들에게는 해당 국가의 지역 및 주제에 대한 내용으로 한글 문서를 전달하는 등 악성코드 감염을 유도하기 위한 지능적인 방법을 사용했다.
 
이들은 악성코드에 감염된 대상을 제어하기 위해 C&C(명령제어) 프로토콜로 이메일을 사용했다. 이메일 프로토콜을 사용할 경우 정상적인 이메일 트래픽과 구분이 어려워 네트워크 탐지 장비를 우회할 수 있으며, 특히 SSL과 같은 암호화 보안 프로토콜을 사용할 경우 탐지가 더욱 어려워진다.
 
또한 이메일의 제목과 첨부파일을 통해 명령을 전달하거나 추가적인 악성코드를 전달했으며, 첨부파일을 통해 수집한 각종 기밀정보를 외부로 유출했다.
 
악성코드를 통해 수행된 사이버첩보 활동은 △ 현재 작업 화면 캡처 △ 키로깅 △ 각종 웹 브라우저에 저장된 계정 정보 수집 △ 하드디스크에 있는 파일 목록 수집 △ 한글문서를 포함한 각종 문서 파일 수집 △ 추가 악성코드 다운로드 및 실행 등이다.
 
해당 조직을 북한으로 추정하는 근거로는 악성코드에 사용된 암호화 기법 등이 기존에 북한의 소행으로 알려진 악성코드들과 상당부분 유사하며, 개발 경로 및 이메일 프로토콜 등에 한글이 사용되는 등 한글 환경에 능숙한 점, 일부 문서에 포함된 북한 폰트인 ‘청봉체’ 등을 들 수 있다.
 
뿐만 아니라 이메일 C&C를 통해 명령을 제어하는 해커조직의 관리자 IP가 국내에서 북한의 김정일 일가를 찬양하는 게시글을 올린 IP와 일치하고, 해커조직의 IP 대역이 주로 대남 사이버전 수행 거점을 설치하고 정보를 수집하고 있는 것으로 알려진 북한 정찰총국이 위치한 중국 동북3성(랴오닝성, 지린성, 헤이룬장성) 등에 위치한 점을 또 다른 근거로 볼 수 있다.
 
최상명 팀장은 “이미 오래 전부터 북한으로 추정되는 해커 조직들이 국내를 대상으로 사이버첩보활동을 수행하고 있었으며 누구보다 실감하고 있는 상황에서 이제는 더 이상 비공개로 숨길 문제는 아닌 것 같다”고 설명하고, “이에 공론화하고 효과적으로 대응할 수 있는 방안을 찾는 데 주력하겠다”고 밝혔다.
 
데일리시큐 호애진 기자 ajho@dailysecu.com