정부인사들, 왜 스미싱수준 공격에 당했나

기본 수칙도 안 지켜…보안불감증 심각

인터넷입력 :2016/03/09 07:49    수정: 2016/03/09 07:56

손경호 기자

국가정보원이 이례적으로 보도자료까지 내면서 북한 발 사이버테러가 위험수위에 있다고 밝혔다. 국내 보안소프트웨어를 노린 공격은 자칫 잘못하면 사이버테러 수준으로까지 번질 수 있는 사안이었으나 빠른 초기 대응으로 급한 불은 끈 상태다.

그러나 최근 정부 주요 인사들이 당했다는 공격은 기본적인 스마트폰 보안 수칙도 제대로 지키지 않은 상태에서 발생한 것이라 책임을 피하기 어려울 것으로 보인다.

국정원은 8일 북한이 최근 정부 주요 인사 수십명의 스마트폰을 공격해 해킹된 스마트폰 내에 저장된 문자메시지 송수신 내역, 통화내역, 음성통화 내용까지 훔쳐갔다고 설명했다.

국정원에 따르면 이 공격은 주요 인사 스마트폰에 유인 문자메시지를 보내 악성코드를 심는 방식으로 스마트폰을 공격한 것으로 확인됐다.

북한 소행인지와는 별개로 일반 국민들도 조심하는 스미싱 수준의 공격에 노출된 정부 주요 인사들의 보안불감증이 위기를 키우는데 원인 중 하나로 지목된다.

■정부 주요 인사들, 왜 스미싱 수준 공격에 당했나

문제는 이러한 공격에 문자메시지에 악성링크를 첨부한 뒤 이 링크를 누르면 악성앱이 설치되는 스미싱 수법이 쓰였을 가능성이 높다는 점이다. 이것이 사실이라면 정부에서 중요한 업무를 하고 있는 인사들이 스미싱에 당하지 않기 위한 가장 기본적인 스마트폰 보안 수칙도 지키지 않았다는 말이 된다.

스미싱과 같은 공격에 대응하기 위해서는 안드로이드폰의 경우 '알 수 없는 출처 앱'을 '허용 안 함'으로 설정하면 된다. 지난해까지 기승을 부렸던 모바일청첩장이나 검찰, 경찰을 사칭한 스미싱 역시 이러한 지침만 제대로 지키면 별다른 문제가 생기지 않는다.

한번 악성앱이 설치되면 안드로이드폰의 경우 관리자 권한을 확보해 문자메시지 송수신 내역, 통화내역은 물론 녹음기능을 악용해 사용자가 오프라인 상에서 상대방과 대화한 내용까지 녹음할 수 있다.

이 사안만 놓고 보면 반드시 북한의 공격이라고 보기 애매한 면이 있는 것이 사실이다.

국내 보안업계 관계자는 "고위 공직자들의 경우 암호화 기능이 기본 탑재된 보안폰을 쓰는 경우도 많은데 보안폰이 아닌 개인폰을 쓰다가 문제가 된 것인지 의문이고, 개인폰이라고 하더라도 '알 수 없는 출처 앱'을 그대로 설치하도록 허용했다는 얘기나 다름없는 것"이라고 지적했다.

현재 최신 스마트폰에서는 알 수 없는 출처 앱을 한번 허용으로 설정하더라도 비슷한 류의 다른 앱을 설치할 때 허용 여부를 재확인하는 기능까지 구현되고 있는 실정이다.

공격 당한 정부 주요 인사들이 보안폰 대신 개인폰을 쓰면서 스미싱이나 다름 없는 기본적인 공격에 대한 대응책마저도 제대로 인지하지 못하고 있었다는 말이 되는 셈이다.

■북한 발 사이버공격, 빠른 대응 필수

정부 주요 인사들을 노린 공격과 별개로 국정원이 밝힌 보안소프트웨어 업체 내부 전산망 침투/장악, 또 다른 보안소프트웨어 업체가 관리하는 코드사인용 개인키가 유출된 사건은 보안전문가들 사이에서도 심각성을 인식하고 있는 사안이다.

이들 회사가 인터넷뱅킹, 온라인 카드결제를 위해 제공하는 보안프로그램이 2천만명 이상 국민들이 사용하고 있는 만큼 광범위한 국민들이 공격 목표가 될 수 있기 때문이다.

복수 보안업계 관계자들은 스마트폰 해킹 건과 달리 보안소프트웨어를 노린 공격은 북한 공격이 확실시 된다고 주장했다. 단순히 공격자가 사용한 IP주소가 북한에서 사용하는 대역이라는 이유 뿐만 아니라 과거에 공격자들이 명령을 내리거나 정보를 수집하는 C&C서버 사용 내역, 과거 북한이 쓴 악성코드와 동일한 코드가 발견됐다는 설명이다. 이외에도 공격자가 악성코드에 감염된 PC에 명령을 내리기 위해 사용하는 별도의 창(shell)을 실행하는 '셸코드(shell code)'를 쓰는 수법까지 유사하다는 것이다.

이미 초기 대응을 마치고, 추가피해 여부를 확인하고 있는 단계인 만큼 엄밀히 보면 심각했던 과거 이슈였지 당장 사이버테러가 발생했다고 보기는 힘든 상황이다.

관련기사

국정원은 미래부, KISA, 금융위, 금보원 등과 협력해 초기 대응조치를 마치고 추가적인 분석을 진행하고 있다. 보안업계에서는 최근과 같은 북한 발 사이버공격 시도가 이미 과거부터 수시로 벌어지고 있다고 밝혔다.

따라서 공격을 감지한 뒤 초기에 관계기관들 간 협조를 통해 얼마나 빠르게 대응조치를 취할 수 있는가가 앞으로 더욱 중요해질 것으로 전망된다.