[디지털투데이 강진규 기자] 우리나라의 주요 전산망을 겨냥한 국제 해커들의 움직임이 심상치 않다. 올해 들어 연일 해킹의 위협을 알리는 경보가 울리고 있다. 보안 업계와 전문가들은 과거 7.7디도스 공격, 농협 전산망 마비 사건 같은 대형 사이버공격이 발생할 수 있다고 경고하고 있다.

지난달 30일 국가정보원은 북한 해커들이 국내외 1000만대의 PC에서 사용되는 금융보안인증 프로그램의 취약점을 악용해 해킹 공격을 했다고 밝혔다. 

국정원, 경찰청, 한국인터넷진흥원(KISA), 국가보안기술연구소는 지난해 말 북한이 국내 금융보안인증서 업체 이니텍의 소프트웨어(SW) 취약점을 악용해 국가·공공기관 및 방산, 바이오업체 등 국내외 60여곳의 PC 210여대를 해킹한 것을 확인했다고 설명했다.

이니텍은 KT 관계사로 금융권, 공공부문에 보안인증 프로그램과 기술을 제공하고 있다. 문제가 된 SW는 이니세이프(INISAFE) CrossWeb EX V3 3.3.2.40 이하 버전이었다.

KISA는 취약한 버전의 INISAFE CrossWeb EX V3가 설치돼 있는 경우 이를 제거한 후 최신 버전으로 업데이트해야 한다고 지적했다. KISA는 문제가 된 보안취약점이 해커가 원격에서 사용자 PC에 악성코드를 전파하고 감염시킬 수 있어 위험도가 높다고 경고했다. 

올해 사이버공격 경보가 울린 것은 이번만이 아니다. 2월 10일 국정원은 미국 국가안보국(NSA), 연방수사국(FBI) 등 정보기관과 합동으로 북한의 사이버공격 위협을 경고하는 보안 권고문을 발표했다. 

한미 정보기관이 합동 보안 권고문을 발표한 것은 처음이다. 국정원은 최근 북한이 외화벌이 및 금전탈취를 목적으로 세계 각국의 의료, 보건 등 각 분야 주요 기관에 대한 악의적 사이버 활동에 집중하고 있다며 공격 주체를 은닉하고 추적을 회피하기 위해 지속적으로 랜섬웨어 및 가상자산을 악용하고 있다고 밝혔다.

3월 20일에도 국정원은 독일 연방헌법보호청(BfV)과 합동으로 킴수키 해킹 조직의 신종 사이버공격에 대한 위험성을 알리는 사이버보안 권고문을 발표했다.

국정원과 독일 헌보청은 최근 사이버공격 양상이 ‘구글서비스’를 악용하는 등 기존 해킹 수법보다 더욱 교묘해지고 있는 점에 주목하고 두 가지 공격 유형을 공개했다.

해커가 스피어피싱 방법으로 악성 링크가 포함된 이메일을 피해자에게 발송, 크로미움 브라우저에서 작동하는 악성 확장 프로그램 설치를 유도한다는 것이다. 크로미움은 구글에서 개발하는 오픈소스 웹 브라우저 프로젝트다. 추가로 발견된 해킹기법은 ‘구글 플레이 동기화’ 기능을 악용해 스마트폰에 악성앱을 설치하는 방식이다.

3월 22일 국정원 사이버안보센터는 국가 배후 해킹 조직이 악성코드 유포에 국내 보안솔루션 제품 ‘MagicLine 4.0’ 취약점을 악용한 사례가 있다며 최신 버전으로 업데이트해야 한다고 밝혔다. 이 제품은 드림시큐리티가 개발하는 보안인증 솔루션이다. 국정원이 언급한 국가 배후 해킹 조직은 중국, 러시아, 북한 등의 해커를 뜻한다.

이와 별개로 국가사이버안보센터는 3월 14일에도 국가 배후 해킹조직이 악성코드 유포에 국내 보안솔루션 제품 'VestCert‘ 취약점을 악용한 사례가 있다고 경고했다.

이밖에도 국정원과 국가보안기술연구소과 3월 30일 서울 웨스턴 조선호텔에서 ‘북한 가상자산 탈취 공격 대응 전략’을 주제로 ‘사이버안보 정책포럼’을 개최하고 북한의 가상자산 해킹 위협을 경고했다.

이날 채이널리시스코리아 관계자는 리퀴드닷컴 해킹, 액시 인피니티/로닌 브릿지 해킹, 하모니/호라이즌 브릿지 해킹 등이 북한의 소행으로 추정된다고 밝혔다. 3월 13일 발생한 오일러 파이낸스의 2억달러 탈취 사건에도 라자루스 해킹 그룹이 관련된 것으로 보인다고 지적했다.
국정원은 올해 2~3월 사이 6번이나 공식적으로 해킹 공격 가능성을 경고한 것이다. 이는 이례적인 상황이다.

국정원 경고와 별개로 국제 해커들의 실제 해킹 주장도 이어지고 있다. 지난 1월 21일 미상의 중국 해커조직이 대한건설정책연구원을 해킹한 후 한국 정부기관 2000여개 홈페이지를 해킹하겠다고 주장했다. 중국 해커들은 자신들을 '샤오치잉 사이버 시큐리티 팀'이라고 지칭했다. 그리고 실제로 12개 사이트가 해킹을 당한 것으로 알려졌다.

해커들은 메신저 텔레그램을 활용해 자신들의 공격 사실을 알리고 일부 데이터를 유포하는 등 한국 기관들을 조롱했다. 그들의 정체는 아직 밝혀지지 않았다.

3월 29일에는 악명 높은 랜섬웨어 락빗(Lockbit)이 한국 국세청을 해킹했다며 데이터를 4월 1일 공개하겠다고 협박했다. 락빗은 2019년 등장한 후 계속 업그레이드되고 있으며 수년 간 한국을 비롯한 전 세계적으로 랜섬웨어 피해를 준 것으로 알려져 있다. 해커들은 4월 1일 국세청 해킹 내용을 공개하지 않았다. 이에 농락을 한 것이거나 거짓말을 했을 가능성이 제기되고 있다.

이처럼 최근 사이버공격 징후들이 나타나면서 과거와 같은 대형 사고가 터지는 것이 아닌지 우려가 높아지고 있다. 과거 한국은 7.7디도스, 3.20사이버공격, 농협 전산망 마비 사건 등 해킹을 겪었다.

한 보안 분야 관계자는 “최근 높아지는 위협을 보면 언제 사고가 터져도 이상하지 않은 상황으로 걱정이 크다”고 말했다.