미 보안업체 “북 해커, 합법 프로그램 이용해 기밀 빼내”

워싱턴-김소영 kimso@rfa.org
2020.08.05
webinar_hacking_b 시만텍이 5일 개최환 화상회의에서 북한의 해킹 공격에 대해 설명하고 있는 실버스터 세구라(아랫줄) 분석가.
/브라이트토크 사이트 영상 캡처

앵커: 최근 합법적인 통신 프로그램을 이용해 고급 기밀 정보를 빼내려는 북한 해킹 조직들의 시도가 늘고 있다는 분석이 나왔습니다. 김소영 기자가 보도합니다.

미국 사이버 보안 소프트웨어 업체인 시만텍(Symantec)은 5일 북한 정권과 연결된 해킹 조직들의 사이버 공격을 주제로 한 화상회의에서 새로운 해킹 공격 대상과 방법들에 대해 발표했습니다.

이 업체의 실버스터 세구라(Sylvester Segura) 위협정보분석가(Threat Intelligence Analyst)는 보안 업계에서 ‘라자루스(Lazarus)’로 통칭되는 북한 당국의 해킹 조직, ‘히든 코브라(Hidden cobra)’의 주요 활동 중 ‘스톤플라이(Stonefly)’에 주목했습니다.

보안 업체들은 북한 해킹 공격마다 대상과 공격 방법 등의 특징이 유사한 사이버 공격 활동들에 대해 개별적인 명칭을 붙이고 있는데 ‘스톤플라이’는 시만텍이 분류한 히든 코브라의 사이버 공격 유형 7가지 중 하나입니다.

세구라 분석가는 스톤플라이가 처음 감지된 2009년 당시 공격 대상의 온라인 서비스가 제대로 작동하지 않도록 시도하는 무작위 입력공격 방법인 분산서비스거부(Distributed Denial of Service, DDoS) 공격을 사용했으나 최근에는 더욱 교묘한 방법으로 감시망을 피해가고 있다고 지적했습니다.

그는 2019년부터 최근까지 한눈에 식별이 어려운 합법적 통신 프로그램을 이용해 최첨단 산업 관련 업체나 기관의 내부 전산망에 침투해 최신 고급 기술이나 정보들을 빼내는 스톤플라이의 사이버 공격이 눈에 띄게 늘었다고 강조했습니다.

시만텍이 파악한 2019~2020년 스톤플라이의 주요 공격 대상이 되는 산업군은 에너지가 38%로 가장 많았고, 항공 · 상업위성 25%, 보건의료 13%, 반도체 12% 순이었습니다.

세구라 분석가는 이들은 일반인들이 이용하는 합법적인 소프트웨어 프로그램 형태의 파일을 이용하기 때문에 해킹 행위를 찾아내기 어렵다고 설명했습니다.

세구라 분석가: 스톤플라이는 합법적인 도구(tool)을 이용하기 때문에 이들의 행위를 감지하는 건 기술적으로 쉽지 않습니다. 스톤플라이는 실제 공격이 있기 몇달 전부터 시스템 내에 잠복해 있기 때문에 이때 적발할 기회를 잡을 수 있습니다.

시만텍은 스톤플라이가 주로 아시아와 미국 내 단체나 기관들을 대상으로 사이버 공격을 시도했던 것에서 2019년 이후 처음으로 중동 지역에서 해킹 공격을 늘려가고 있다고 전했습니다.

이 업체의 딕 오브라이언(Dick O'Brien) 연구 국장(Principal Research Editor)은 이날 북한 해킹 조직의 공격 대상과 목표가 시기마다 다소 차이를 보인다며 2015년 이후 금전 탈취를 목적으로 한 사이버 공격이 크게 증가했다고 설명했습니다.

한편 유럽연합(EU)은 지난달 30일 처음으로 사이버 공격과 연관됐다는 이유로 북한 기업 ‘조선엑스포’ 등에 대해 제재를 부과한다고 발표하는 등 북한 해킹 공격을 막기 위한 국제적인 노력이 이어지고 있습니다.

댓글 달기

아래 양식으로 댓글을 작성해 주십시오. Comments are moderated.