국내서 북한으로 추정되는 공격자들이 사이버 테러 수준의 공격을 수행해 주요 그룹사 2곳 계열사들로부터 각종 내부 문서를 빼가고, 이들 회사 전산망을 마비시키려고 시도한 정황이 확인됐다.
13일 경찰청 사이버안전국은 지난 1월 북한이 4차 핵실험 직후 예상되는 사이버테러를 차단하기 위한 사전탐지활동을 하던 중, 2월부터 북에서 제작한 것으로 추정되는 악성코드 관련 첩보를 입수해 수사한 결과를 발표했다.
경찰은 2014년 7월부터 2016년 2월까지 33종의 북한 제작 악성코드와 공격명령을 내리는 16대 C&C서버를 확인했으며, 공격자들이 그룹사 2곳으로부터 훔쳐낸 뒤 삭제한 문서 4만2천608개를 복원했다.
이 과정에서 2013년 3.20 사이버테러 때와 동일한 북한 평양 류경동에 위치한 공격용 IP주소가 발견됐으며, 이를 통해 사이버테러를 준비하고, 업무용 파일을 탈취하는 등 행위가 이뤄졌다는 사실을 확인했다고 경찰은 발표했다.
공격자들은 원격제어, 정찰, 해킹 등 다양한 기능을 가진 악성코드를 제작했으며, 중소기업, 대학연구소, 개인홈페이지 등 보안이 취약한 서버를 장악해 C&C서버로 악용했던 것으로 확인됐다.
그룹사 2곳이 심각한 피해를 입었던 원인은 이들 기업이 사용 중인 자산관리시스템이 보안패치가 이뤄지지 않은 제로데이 취약점에 노출돼 있었기 때문이다.
공격자들은 피해를 입은 그룹사 2곳이 사용하고 있는 '데스크톱 매니지먼트 시스템(DMS)'에서 관리자 권한 없이도 원격으로 접속해 임의로 파일을 배포하거나 원격제어를 수행할 수 있게 하는 미인증 우회 취약점을 악용해 공격을 수행한 것으로 경찰은 분석했다.
경찰청 사이버안전국 오규식 팀장은 "DMS는 (각종 소프트웨어에 대한) 패치도 하고, 원격실행과 함께 전산망에서 사내 컴퓨터에 특정 파일 등을 다운로드하는 역할을 수행한다"며 "이를 악용해 원격제어툴인 '고스트랫(Ghost Rat)' 등 악성프로그램을 설치했다"고 밝혔다.
오 팀장에 따르면 경찰이 이러한 공격을 북한 소행으로 보는 이유는 크게 2가지다. 먼저 장악한 시스템을 원격제어하는데 쓰인 것과 유출된 문서를 다운로드하는데 쓰인 IP주소가 모두 북한 것이라는 사실이다. 또한 공격자들이 악성코드로 감염시킨 시스템을 조종하기 위해 사용하는 악성프로그램 실행화면에서 북한에서 사용하는 단어들이 사용됐다는 점을 근거로 삼았다.
경찰은 지난 2월 이같은 공격사실을 확인한 뒤 문제가 됐던 DMS 개발사인 M사에 통보해 이 회사가 관리하고 있는 160여개 기관, 기업, 피해 그룹사에게 통보해 취약점에 대한 보안패치를 수행토록 하고, 피해 그룹사, 유관기관 등과 공동 대응팀을 구성해 추가적인 공격을 차단했다.
관련기사
- 논란의 사이버테러방지법, 쟁점 살펴보니...2016.06.13
- 정부인사들, 왜 스미싱수준 공격에 당했나2016.06.13
- "北, 南 정부 인사 스마트폰 수십개 해킹"2016.06.13
- "소니픽쳐스 해킹-3.20 사이버테러 '동일범'"2016.06.13
유출된 4만2천608개 문서들은 방위산업 관련 정보가 4만187건, 통신설비 관련 정보가 2천421건으로 확인됐다.
경찰청 사이버안전국은 "북한의 사이버공격대상이 주요 기업으로까지 확대되는 사실에 주목하고, 앞으로도 주요 공공기관, 기업에 대한 사이버공격을 조기에 탐지하고, 사전차단하는 활동에 주력해 나갈 계획"이라고 밝혔다.