국내 주요기관 노린 사이버 스파이 활동 발견… 북한으로 추정

카스퍼스키 연구소(www.kaspersky.com)가 대한민국 주요 기관을 노린 사이버 스파이 활동을 발견했다고 발표했다. 'Kimsuky'로 명명된 이번 사이버 스파이 활동은 세종연구소, 한국국방연구원(KIDA), 통일부, 현대상선, 통일생각 등 중국 및 대한민국의 주요 기관을 대상으로 한 제한적이며 고도로 표적화된 공격이라는 평가다.

카스퍼스키 연구소 관계자는 이번 사이버 스파이 활동의 초기 징후는 2013년 4월 3일이었으며 Kimsuky 트로이목마 샘플은 2013년 5월 5일 최초로 발견됐다고 말했다. 또한, 해당 샘플은 비교적 단순한 스파이 프로그램으로, 몇 가지 기본 코딩 오류가 있었으며 해킹된 컴퓨터와의 통신은 불가리아의 웹 기반 무료 이메일 서버(mail.bg)를 사용했다고 분석했다.

감염 경로는 밝혀지지 않았지만, 카스퍼스키 연구소는 스피어 피싱(특정 대상을 겨냥한 공격, 관련기사: http://it.donga.com/15315/) 이메일을 통해 키보드입력 기록, 디렉터리 목록 수집, 원격 제어, HWP 문서 등을 유출한 것으로 추정하고 있다.

특히 이번 공격에는 HWP 파일만 유출하는 전문 악성 코드가 포함되어 있어 이번 해킹의 주요 목적이 HWP 문서 파일 유출임을 알 수 있다. HWP는 국내 공공기관에서 가장 많이 사용하는 포맷으로, 이를 통해 한국을 표적으로 한 공격임을 알 수 있다.

카스퍼스키 연구소는 몇 가지 단서를 통해 이번 공격자를 북한으로 추정하고 있다. 먼저 해킹의 대상이 된 주요 기관은 국내외 정세를 연구하는 민간 기관, 국방정책 전반을 연구하는 정부출연 기관, 국적 해운 회사, 통일 관련 그룹 등이었다. 또한, 악성 코드에 한국어로 된 문자열('공격', '완성' 등)이 있었다. 마지막으로 악성 코드의 동작 상태와 감염된 시스템에 대한 정보를 첨부 파일로 전달할 때 사용된 이메일 주소(iop110112@hotmail.com, rsh1213@hotmail.com)가 'Kim'으로 시작되는 이름(kimsukyang과 Kim asdfa)으로 등록됐다.

특히 공격자의 IP주소는 중국에 할당된 IP주소이며, 이 중 일부 인터넷 회선은 북한에 연결된 것으로 보인다. 이번 악성 코드의 또 다른 특징은 '안랩'의 보안 제품 무력화를 시도했다는 점이다.

*내용 추가
다음은 안랩 보안 제품 무력화에 관한 안랩의 입장이다.

해당 악성코드에 보안 제품 무력화를 시도하는 기능이 있으나, 무력화 기능은 V3 자체 보호기능에서 방화해 무력화 시도가 동작하지 않았다. 또한, 해당 악성코드는 이미 안랩이 대응했던 것으로 확인 됐다.

글 / IT동아 이상우(lswoo@itdonga.com)