한반도 화해 무드에도 정보 수집과 외화벌이 목적으로 보이는 북한발 사이버 공격이 잇따르고 있다.
5일 보안업계에 따르면 4·27 남북정상회담 이후 남북이 모든 공간에서 적대적 행위를 중지하기로 합의했지만, 북한발로 짐작되는 사이버 공격은 줄지 않은 것으로 나타났다.
남북정상회담 이후 국내 병원과 제조기업에서 북한 해커 그룹 ‘히든 코브라’(Hidden Cobra)의 악성코드에 감염된 사례가 확인됐다. ‘래저러스’(Lazarus)로도 불리는 이 집단은 작년 6월 세계를 강타한 ‘워너크라이’ 랜섬웨어의 배후로 꼽힌다.
최근 국내에 유포된 ‘남북이산가족찾기 전수조사’ 사칭 이메일 역시 북한 해커들이 제작한 것으로 추정된다. 공격자가 한글 표현이 포함된 그림 파일을 직접 제작해 사용한 정황이 포착됐고, 러시아어 코드도 일부러 남긴 교란용 지문일 가능성이 크다는 게 업계의 분석이다. 이 이메일은 문서파일을 직접 첨부해 유포한 기존 이메일 공격과 달리 보안이 적용된 HTML 파일로 위장하는 등 진화한 해킹수법을 보였다.
SK인포섹 이재우 이큐스트그룹장은 “남북정상회담 이후 북한으로 추정되는 공격이 정보 탈취에서 정보 수집 양상으로 변하고 있다”며 “기존에는 서버 정보를 탈취하는 경우가 많았다면 최근에는 기업 정보나 일반 이용자 PC의 개인정보를 수집한다”고 설명했다.
하지만 보안업계는 남북 간의 화해 무드를 고려해 공개적인 언급을 꺼리는 분위기다. 북한발 공격을 탐지하더라도 대외적으로 발표하지 않는 경우가 많다는 게 보안 전문가들의 전언이다.
이 그룹장도 “정상회담 이후 ‘이슈 메이킹’하는 걸 자제하고 있다. 탐지는 했는데 아직 오픈은 하지 않고 있다”고 말했다. 또 다른 보안 전문가는 “북한 관련 해킹은 아무래도 정부 기관이 주도해 조사하다 보니 업계가 나서 이슈화하는 데 부담이 있다”며 “하지만 최근 북한 해커들의 움직임을 보면 사이버 공간은 판문점 선언에서 밝힌 적대적 행위 중단에서 제외된 공간처럼 보인다”고 말했다. /권혁준인턴기자 hj7790@sedaily.com
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
