[단독] “北, 국내 언론사 10여곳 해킹 시도…서버 침투 노렸다”

중앙일보

입력 2021.08.13 05:00

북한 해커들을 표현한 그래픽 이미지. [블룸버그 비즈니스위크 캡처]

북한 해커들을 표현한 그래픽 이미지. [블룸버그 비즈니스위크 캡처]

최근 북한이 국내 주요 언론사 10여 곳에 해킹 공격을 시도했다고 익명을 요구한 사이버 보안 소식통이 12일 밝혔다.

VPN 취약점 통해 서버 침투 시도
연합훈련 및 대선 정보 수집 목적
국정원 위기 격상, 추가 공격 전망

이 소식통은 “지난 5일부터 사이버 공격을 시작한 징후를 발견했고, 공격에 사용된 기술과 전략을 분석한 결과 배후는 북한으로 추정된다”며 “지난달 전직 장·차관을 노렸던 공격 대상이 최근 언론사로 바뀌었다”고 말했다.

이번 공격은 신문ㆍ방송 등 국내 언론사 기자 수 십명에게 e메일을 보내는 방식으로 시도됐다. 설문조사 등을 부탁하는 e메일로 접근해 첨부 문서를 열어보도록 유도했다. 수신자가 PDF 문서를 열어보면 파일 내부에 숨어 있는 악성 코드가 작동해 언론사 서버 내부로 침투하는 방식이다.

첨부 파일을 보내 해킹을 시도하는 건 전통적인 방법이었는데 북한은 그간 ‘아래아 한글’과 ‘MS워드’ 등의 문서 파일을 첨부했다. 이번엔 PDF 문서를 보내 방심하도록 했다.

북한이 저지른 주요 해킹 사례들. 그래픽=김은교 kim.eungyo@joongang.co.kr

북한이 저지른 주요 해킹 사례들. 그래픽=김은교 kim.eungyo@joongang.co.kr

소식통에 따르면 북한 해커는 컴퓨터에 침투한 악성 코드가 보안 프로그램 작동 여부도 확인하도록 설계했다. 해킹 탐지와 분석을 피하기 위해서다. 은밀하게 활동할 수 있도록 경계 태세를 확인한 뒤 본격적인 공격을 시작한다.

컴퓨터를 장악한 뒤엔 내부 자료를 탈취하고 각종  비밀번호를 수집한다. 실시간으로 컴퓨터 화면을 감시하는 것도 어렵지 않다. 특히 해킹에 성공하면 휴대폰 침투도 가능한 만큼 개인 일정과 연락처 정보, 저장된 사진 등을 빼내고 통화도 엿들을 수 있다.

VPN 뚫어 언론사 서버 침투 노려 

이번 언론사 해킹 시도를 놓고 대공 수사 관계자는 “한·미 연합훈련과 내년에 치러질 대통령 선거 등 한국 내 동향 파악이 목적으로 보인다”고 분석했다. 소식통은 “기자 개인의 정보뿐 아니라 언론사 서버 내부로 침투하는 목적이 더 중요해 보인다”고 말했다.

이번 공격은 한국원자력연구원과 방산업체 등 핵심 보안시설 공격에 쓰인 전략과 유사하다고 소식통은 전했다. 가상사설망(VPN)을 뚫고 침투하는 방법인데 언론사 기자들도 대부분 VPN으로 외부에서 회사 내부 서버와 연결해 기사를 보내고 자료를 확인한다.

VPN 취약점으로 언론사 내부로 침투하는 연결고리를 확보하면 서버에 저장된 자료도 북한에 모두 넘어갈 수 있다. 기존 기사를 변조하고나 허위 기사 발송도 가능하다. 언론사 시스템 자체를 완전히 파괴하는 등 사회적 혼란을 조성하는 것도 어렵지 않다.

국가정보원 [사진 국정원]

국가정보원 [사진 국정원]

추가 공격 가능성 여전

단 북한의 이번 공격은 원하는 수준까지는 달성하지 못한 것으로 분석되는 만큼 추가 공격에 나설 가능성이 있다고 소식통은 경고했다.

앞서 지난 3일 국가정보원은 공공분야 사이버 위기 경보를 ‘정상’에서 ‘관심’ 단계로 상향했다. 문재인 정부는 남북 정상회담(2018년 4월 27일) 이후 국가 사이버위기 경보(5단계)를 가장 낮은 단계인 ‘정상’에서 단 한 번도 격상하지 않다가 이번에 올렸다.

보안 전문가들은 외부에서의 해킹 시도 가능성이 있을 때는 컴퓨터와 웹 사이트 비밀번호를 모두 바꿔야 하고, 악성 코드에 감염된 컴퓨터는 하드디스크를 교체하고 휴대폰 역시 초기화하거나 교체하는 게 가장 기본적인 대응 조치라고 설명했다.

ADVERTISEMENT
ADVERTISEMENT
ADVERTISEMENT
모비온

Innovation Lab

ADVERTISEMENT