컨텐츠 바로가기

03.19 (화)

주요 시설 마비 노리던 국가지원 해커 '돈벌이 혈안'

댓글 첫 댓글을 작성해보세요
주소복사가 완료되었습니다
국가 주요기반시설에 사이버 공격을 감행하던 국가지원 해킹 세력이 올 들어 돈벌이에 혈안이다. 금고를 채운 후 올해 안에 대형 사이버테러를 일으킬 가능성을 배제할 수 없다.

전자신문은 18일 양재동 엘타워에서 '2017 산업제어시스템 보안 콘퍼런스'를 개최했다. 문종현 이스트시큐리티 이사(시큐리티대응센터장)는 국내 주요기반시설을 표적으로 사이버 공격을 일삼던 조직이 올들어 금전 이익을 취하는 돈벌이 사이버 범죄에 집중하고 있다고 분석했다.

그동안 국가지원 해킹 조직은 주로 주요 기관에서 자료를 빼돌리는 사이버 첩보전이나 시스템과 네트워크 마비 등 사이버 테러를 수행했다. 최근에는 비트코인 거래소 해킹이나 도박 프로그램으로 돈벌이에 한창이다.

전자신문

문종현 이스트시큐리티 센터장이 '2017년 실제 사례 기반 APT 동향 분석'을 주제로 발표했다. 윤성혁기자 shyoon@etnews.com

<이미지를 클릭하시면 크게 보실 수 있습니다>


문 센터장은 “많은 사람이 비트코인에 관심을 가지며 수요가 발생하고 시세가 올랐다”면서 “비트코인 가격을 높여 이득을 보는 사이버 범죄가 나타났다”고 말했다.

상반기 국내서 발생한 가상화폐 거래소 해킹 사건에서 과거 국가 주요시설을 해킹했던 조직이 쓰던 악성코드 유사성이 발견된다. 공격자는 국세청 '세무조사준비서류'나 금융감독원 '해외송금 한도 초과 통지', '2017년 5월까지 감지된 유사수신 행위와 법률적 조치' 등 다양한 문서 파일에 악성코드를 담아 보내는 수법을 썼다. 그 중 일부에서 2012년 중앙일보 해킹과 유사한 흔적이 발견됐고, 2014년 소니픽처스 공격 악성코드 시리즈와도 일치한다.

북한은 개성공단 폐쇄로 자금 압박에 시달린다. 문 센터장은 “국제 사회는 북한이 핵미사일 개발과 발사를 억제를 위해 경제 제재를 했다”면서 “돈이 막힌 북한이 가상화폐에 관심이 높다”고 말했다. 가상화폐는 사이버 범죄 대금으로 주로 쓰인다. 추적이 쉽지 않은데다 주식처럼 가격이 상승한다.

문 센터장은 “2013년 3·20 사이버테러 이후 발견된 유사 악성코드에서 비트코인을 채굴하는 변종이 존재했다”면서 “2017년 5·12 워너크라이 랜섬웨어가 SMB 취약점과 결합해 대규모 피해를 입힌 이후 비트코인 시세가 급격히 상승했다”고 말했다. 그는 “이미 북한은 수년 전부터 비트코인으로 외화벌이 획득을 도모했다”면서 “최근 가상화폐와 사이버 공격에 특별한 비례공식이 존재한다”고 분석했다.

그는 현재 돈 벌이에 혈안인 국가지원 해커 세력은 언제든지 주요기반시설 공격자로 돌변할 수 있다고 경고했다. 국가지원 해커는 명령에 따라 즉각 공격을 수행한다. 정찰조와 침투조, 사이버 심리전 조직 등을 두고 일사분란하게 작전을 펼친다.

문 센터장은 “공격자는 국내 주요기반시설 망분리 환경을 파악하고 관련 솔루션 취약점을 이용한 공격을 감행했다”면서 “망분리 취약점을 연구해 산업제어시스템이 운영되는 내부망에 피해를 입힐 수 있다”고 강조했다. 실제 공격자는 상반기 중 주요 은행에서 사용 중인 망간 자료 전송시스템 취약점을 찾아내 인터넷과 분리된 내부망 접근을 시도했다.

전자신문

문종현 이스트시큐리티 센터장이 '2017년 실제 사례 기반 APT 동향 분석'을 주제로 발표했다. 윤성혁기자 shyoon@etnews.com

<이미지를 클릭하시면 크게 보실 수 있습니다>


[전자신문 CIOBIZ] 김인순 보안 전문기자 insoon@etnews.com

[Copyright © 전자신문. 무단전재-재배포금지]


기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.