북 해킹조직, 지난 3월 대한송유관공사 해킹 시도

서울-목용재 moky@rfa.org
2021.06.09
북 해킹조직, 지난 3월 대한송유관공사 해킹 시도 지난 3월 북한 해킹 조직이 대한송유관공사 이메일 접속 사이트로 위장해 놓은 피싱사이트.
사진-이슈메이커스랩 제공

앵커: 지난 3월 대한송유관공사(Daehan Oil Pipeline Corporation, DOPCO)에 대한 해킹 시도가 있었던 것으로 뒤늦게 알려졌습니다. 북한의 해킹 조직으로 알려진 탈륨의 소행으로 추정됩니다

서울에서 목용재 기자가 보도합니다.

지난 2014년 한국의 전력, 발전분야 공기업인 한국수력원자력을 공격한 김수키가 지난 3월 한국 내에서 석유를 수송하는 대한송유관공사(Daehan Oil Pipeline Corporation, DOPCO)에 대한 해킹을 시도했던 것으로 뒤늦게 알려졌습니다. 김수키는 탈륨으로도 불리는 북한의 해킹 조직으로 알려져 있습니다.

대한송유관공사는 지난 1990년 설립 이후 한국의 전국 주요도시와 공항, 비축 기지를 연결하는 송유관망을 구축해 한국 내에서 소비되는 경질 석유류 수요의 과반 이상을 수송하는 역할을 수행하고 있습니다. 대한송유관공사는 지난 2001년 민영화된 바 있습니다.

북한의 해킹을 전문적으로 추적, 연구하는 한국 내 민간단체인 이슈메이커스랩은 9일 자유아시아방송에 북한의 해킹 조직이 대한송유관공사의 전자우편 접속 홈페이지로 위장해 놓은 피싱 사이트를 지난 3월 포착했다고 밝혔습니다. 피싱은 전자우편 등을 활용해 개인정보 탈취를 시도하는 해킹 수법을 의미합니다.

이슈메이커스랩은 당시 북한이 구축해 놓은 피싱 사이트는 현재 사라진 상황이라며 다만 북한이 대한송유관공사를 공격 대상으로 삼았다는 것 자체로 봤을 때 앞으로도 지속적인 해킹 시도가 이뤄질 가능성이 있다고 말했습니다.

지난 2014년 김수키는 한수원 협력업체 직원의 개인정보를 탈취해 이를 한수원 공격에 활용한 바 있습니다. 이번에도 대한송유관공사 직원들의 개인정보를 빼내 추가적인 공격 시도에 활용하려 했던 것으로 추정됩니다.

이와 관련해 대한송유관공사는 자유아시아방송에 지난 3월 해킹 시도에 대해 인지한 뒤 관련 조치를 취했으며 피해는 발생하지 않았다고 밝혔습니다.

대한송유관공사 관계자는 지난 3월 당사 웹메일과 동일한 웹사이트를 생성 후 내부 직원에게 계정과 비밀번호 입력을 요청하는 피싱 메일을 확인했다당사 보안팀이 이를 즉시 인지해 관련 조치를 취했다고 밝혔습니다.

대한송유관공사에 따르면 당시 피싱 전자우편을 수신한 것으로 확인된 직원은 10명입니다. 이에 따라 대한송유관공사 보안팀은 전사를 대상으로 시스템 점검을 한 뒤 전자우편 서버 관리자 계정의 보안을 강화하고 취약점 해킹 공격에 대한 보완 조치를 완료한 상황입니다.

대한송유관공사 관계자는 외부로부터의 해킹 시도가 빈번한지를 묻는 자유아시아방송의 질의에 이 같은 공격 시도의 경우 흔하지는 않지만 사전에 관련 시도를 차단해 피해를 방지했다고 답했습니다.

대한송유관공사는 사내 업무망과 송유 운영을 위한 시스템망을 분리해 운영하고 있습니다. 이에 따라 사내 업무망에 문제가 발생해도 송유 관련 운영에는 지장이 없다는 입장입니다. 특히 송유 운영을 담당하는 시스템망의 경우 외부로부터의 접속이 원천적으로 차단돼 있어 외부로부터의 직접적인 침입이 불가능하다고 밝혔습니다.

앞서 미국의 최대 송유관 운영사인 콜로니얼 파이프라인은 지난달 랜섬웨어 공격을 당해 송유 시설 가동을 중단한 바 있습니다. 랜섬웨어 공격은 해커가 컴퓨터 시스템에 침투해 중요 파일을 사용하지 못하도록 접근을 차단한 뒤 이를 풀어주는 대가로 보상을 얻어내는 수법을 의미합니다.

콜로니얼 파이프라인에 대한 해킹은 다크 사이드로 알려진 해커 조직의 소행으로 드러났는데, 콜로니얼 파이프라인 측은 송유 시설 재가동을 위해 440만 달러 규모의 비트코인을 해커 조직에 지불하기도 했습니다.

댓글 달기

아래 양식으로 댓글을 작성해 주십시오. Comments are moderated.