美정부가 경보 발령한 北해킹 조직 '히든 코브라'의 공격 수법은?

미국 정부가 2009년 이후 발생한 대규모 해킹 사건들의 배후로 북한 정부를 지목하고 경보를 발령했다. 2016년 방글라데시 중앙은행의 뉴욕 연방은행 계좌 해킹, 2014년 소니 픽쳐스 해킹 등에 북한 해커 집단이 연관돼있다는 것이다. 미 정부가 해외 국가를 특정지어 해킹 공격에 대해 경보를 내린 것은 이례적이다.

북한은 또 한국의 금융, 에너지 기업에 대해 파괴적인 해킹을 시도하고 있다는 분석도 제기됐다.

미 연방수사국(FBI)과 국토안보부는 13일(현지시간) 북한 정부 산하의 해킹 조직을 '히든 코브라'로 명명하고 이들의 공격 수법을 공개하며 추가 해킹 시도에 대비할 것을 주문했다.

이날 국토안보부 산하 컴퓨터비상대응팀(CERT)은 "FBI와의 합동 조사 결과 북한 정부가 언론, 항공, 금융 등 미국과 세계의 주요 기간시설을 공격할 때 이용한 악성코드 델타찰리(DeltaCharlie)의 존재 및 이와 연관된 IP주소가 확인됐다"며 "북한은 주요 시설을 대상으로 델타찰리를 통해 분산서비스거부(DDoS) 공격 체계를 구축해왔다"고 밝혔다.

이른바 '좀비PC'를 이용한 해킹 수법으로 잘 알려진 DDoS는 수백만 대의 PC를 악성코드에 감염시킨 뒤 원격 조종해 특정 웹사이트에 동시 접속시키는 공격을 뜻한다. 웹사이트가 하루에 수용 가능한 접속자 수를 초과시켜 해당 웹사이트의 작동을 정지시키는 수법이다.

지난달 15일 서울 송파구 한국인터넷진흥원에서 관계자들이 랜섬웨어 '워너크라이'의 전파상황을 점검하고 있다. [중앙포토]

또 히든 코브라는 델타찰리를 이용한 DDoS 공격 외에도 디스토버(Destover), 듀저(Duuzer), 행맨(Hangman) 등 다양한 악성코드를 동원해 컴퓨터 사용자의 키보드 움직임을 수집하거나 컴퓨터 속 데이터를 지우는 등의 공격을 시도해왔다.

CERT는 특히 그동안 민간 보안기업들이 라자루스 그룹, 평화의 수호자(GOP)라 일컬었던 해커 조직도 모두 히든 코브라와 동일한 단체라고 규정했다.

라자루스 그룹은 일부 전문가들이 지난달 전 세계 30만 대의 컴퓨터를 랜섬웨어에 감염시킨 '워너크라이' 사이버 공격의 배후로 지목했던 해킹 조직이다. 지난해 뉴욕 연방준비은행의 방글라데시 중앙은행 계좌를 해킹해 8100만 달러(약 905억원)를 부정 인출한 혐의도 받고 있다.

GOP는 2014년 북한 김정은 정권을 풍자한 한 코미디 영화 '인터뷰'(예고편은 위 영상 참조) 개봉을 앞둔 영화사 소니 픽쳐스를 해킹해 상영을 포기하게 만든 주범이다. 당시 GOP는 소니 픽쳐스의 내부 자료를 삭제하고 배우 등 4만7000명의 개인정보와 소니 픽쳐스 임원들이 주고받은 이메일을 공개하며 소니 픽쳐스 측을 협박했다.

CERT에 따르면 히든 코브라는 업데이트를 하지 않아 버전이 낮은 마이크로소프트(MS) 운영 체제를 주된 공격 목표로 삼았다. CERT는 "특히 오래된 버전의 한글 워드프로세서(HWP), 어도비 플래시 플레이어, MS 실버라이트 등 소프트웨어들이 히든 코브라의 공격에 취약하다"며 "이용하는 소프트웨어를 항상 최신 버전으로 업데이트하고 출처가 불분명한 소프트웨어 이용을 삼가면 해킹 위험을 크게 줄일 수 있다"고 밝혔다.

이날 CERT는 히든 코브라가 지금까지 공격에 활용했던 IP주소 등 정보를 공개하고 "FBI는 히든 코브라가 향후에도 이 IP주소들을 통해 공격을 시도할 가능성이 아주 높다고 보고 있다"며 서버 운영자들에게 이 정보들을 바탕으로 해킹 대비에 나설 것을 주문했다. 국토안보부는 "북한의 사이버 활동에 대해 보다 많은 연구가 수행돼야 한다"고 권고했다.

정보보안업체 파이어아이의 존 헐트키스트는 로이터 통신에 "히든 코브라는 한국 금융, 에너지, 교통 부문 기업들을 대상으로 정찰 활동으로 보이는 사이버 첩보 작전을 수행하고 있다"며 "히든 코브라가 훨씬 심각하고 파괴적인 공격을 준비 중인 것으로 보인다"고 우려했다.

이기준 기자 foridealist@joongang.co.kr