개인정보범죄 정부합동수사단은 북한 해킹조직이 국내 금융정보 보안업체 I사의 전자인증서를 탈취해 ‘코드서명’을 위조한 뒤 악성 프로그램을 만들어 유포한 것으로 확인됐다고 31일 밝혔다. 코드서명은 컴퓨터에 프로그램을 설치하기 전에 해당 프로그램이 신뢰할 수 있다는 점을 확인하는 수단이다.
올해 2월 한 백신업체가 I사 코드서명이 탑재된 악성 프로그램을 발견한 것을 계기로 수사를 진행한 합수단은 관련 자료 정밀 분석과 관계자 조사 등을 통해 유포 경로를 확인했다.
자료는 I사 서버와 PC 70여대, 악성 프로그램 유포 경로가 된 서버, 악성 프로그램이 설치된 PC를 제어하고 명령을 내리는 서버, 이메일 등 총 12TB에 달했다.
수사 결과 북한 해킹조직은 지난해 11월께 금융보안 전문업체인 I사의 전산 서버를 해킹하고, 내부자료를 빼낼 수 있는 악성 프로그램을 설치한 것으로 조사됐다.
해당 서버에 접속한 I사 직원 PC에 이 악성프로그램이 설치돼 I사의 전자인증서가 유출됐고, 해킹조직은 이를 이용해 I사의 코드서명을 탑재한 악성 프로그램을 만들었다.
I사의 정상적인 프로그램인 것처럼 가장한 이 프로그램은 한 학술단체의 홈페이지 운영 서버에 설치됐고, 자료 검색 등을 위해 이 서버에 접속한 국세청, 국토교통부, 서울시청, 경기도청 등 10개 기관 PC 19대에 유포됐다. 이 프로그램은 저장된 정보를 탈취하거나 다른 악성 프로그램이 추가로 설치될 수 있게 하는 기능을 포함했다.
합수단은 I사 서버가 악성 프로그램에 최초 감염된 지난해 11월 말부터 올해 1월 말 사이 북한 소재 고정 IP가 해당 서버에 26회 접속한 점 등을 바탕으로 북한 해킹조직의 소행이라고 판단했다.
I사 직원 사내 이메일로 악성 프로그램을 탑재한 ‘남북통일에 대함’이라는 제목의 이메일이 발송됐고, 유포된 악성 프로그램 명령·제어 서버 도메인(dprk.hdskip.com)도 북한과 관련이 있었다.
합수단 관계자는 “대형은행 등에 보안솔루션을 제공하는 I사의 정상 프로그램인 것처럼 가장해 유포함으로써 국내 주요 전산망에 대한 침입·마비 등으로 사회 혼란 야기를 시도한 사이버테러로 추정된다”고 설명했다.
합수단은 국정원, 한국인터넷진흥원, 금융보안원 등 유관기관과 협의해 전자인증서를 무효화하고, 악성프로그램에 감염된 PC를 전수조사해 삭제하는 등 대응했다. 공공기관 내부정보 유출 등 추가 피해는 발생하지 않은 것으로 확인됐다.
[디지털뉴스국]
[ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
