韓·英 NCSC, ‘북한 소프트웨어 공급망 해킹 위협’ 공동 경고

160X600_GIAI_AIDSNote
북한 해킹조직발 SW 공급망 공격에 합동 ‘사이버보안 권고문’ 발표
한국-영국 정상회담서 '사이버 분야 파트너십’ 체결 직후 나온 협력 결과물
북 소재 드라마 제작한 영국 '매머드 스크린', 북한발 해킹으로 결국 제작 중단
개인정보-2

국가정보원 국가사이버안보센터(NCSC)가 영국 정부통신본부(GCHQ) 소속 국가사이버안보센터(NCSC)와 합동으로 발표한 ‘사이버보안 권고문’을 통해 북한 해킹조직이 다수 기업·개인들이 사용하는 공급망 제품을 대상으로 한 해킹 수법을 확인하고, 피해 예방을 위한 보안 강화를 당부했다. 이번 권고문은 영국을 국빈 방문 중인 윤석열 대통령이 22일(현지시간) 가진 한영 정상회담에서 ‘사이버 분야 파트너십’ 체결한 후 나온 첫 번째 협력 결과물이다. 또한 영국이 파이브아이즈(미국·영국·캐나다·호주·뉴질랜드 기밀정보공유동맹) 이외 국가와 합동으로 사이버보안 권고문을 발표한 것도 처음이다.

북한 해킹 조직, 워터링 홀 수법으로 정보 탈

양국 NCSC는 최근 들어 북한 해킹조직이 대규모 피해를 수반하는 공급망 공격을 지속하고 그 수법 또한 더욱 지능적으로 진화하고 있다는 점에 주목했다. 이번 합동 권고문에는 최근 발생한 대표적인 공급망 공격 사례인 ▲국내 수천만 명이 이용 중인 보안인증 소프트웨어(SW) ‘매직라인(MagicLine4NX)’ ▲전 세계적으로 60만 기업·기관 고객이 사용하는 화상회의 ‘솔루션 3CX’를 포함하고 있다.

북한 해킹조직은 웹사이트 해킹 후 취약점 공격 코드를 미리 숨겨두는 워터링 홀(Watering-hole) 수법을 통해 기관 인터넷 PC를 우선 점거한 뒤 보안인증 SW와 망 연계 시스템이 가진 취약점을 악용, 내부망에 접근한 뒤 자료 절취를 시도한 것으로 알려졌다. 이들은 항공우주·의료 등 분야의 60만 개 기업·기관이 사용하는 화상통신 SW인 3CX 데스크톱 앱(Desktop App)도 노렸다. 해커는 3CX 개발과정에 침투해 설치 프로그램에 악성코드를 은닉해 3CX 공식 웹사이트를 통해 수많은 고객들의 PC 등을 감염시켰다. 악성코드는 최소 7일이 지난 후에 가동됐으며 피해자들의 3CX 계정정보, 크롬·엣지 등 웹브라우저 정보를 절취했다.

양국 NCSC는 현재 3CX SW 업데이트를 통해 대응 중이지만, 유사 사례 방지를 위해 백신 최신버전 업데이트 등을 당부했다. 국정원은 최근 국가 배후 해킹조직의 공격은 어느 한 나라에 국한해 발생하는 것이 아닌 만큼 국제 공조가 필수적이라며 합동 권고문 발표가 국가 간 협력의 상징적 의미가 있다고 설명했다. 국정원은 올해 2월을 시작으로 주요국들과 합동 권고문을 발표해 오고 있다. 2월 미국 NSA, 3월 독일 헌법보호청, 6월 미국 국무부(DoS) 등에 이어 이번이 4번째다.

워너크라이 랜섬웨어
워너크라이 랜섬웨어 감염 시 PC에 표시되는 비트코인 요구 화면/출처=온라인 커뮤니티 캡처

북한의 랜섬웨어 공격으로 영국 병원 마비되기도

북한은 2017년 UN 제재 이후 경제난을 타개하기 위해 해킹을 활용한 외화벌이에 사활을 걸고 있다. 글로벌 보안기업 맨디언트에 따르면 북한의 대남·해외 공작업무 총괄 지휘기구인 정찰총국 산하에 라자루스, 김수키, 템프허밋, 안다리엘 등의 해킹그룹이 활동하고 있으며 서로 기술을 공유하는 것으로 파악됐다. 북한은 한국, 미국뿐만 아니라 최소 29개국을 상대로 지속적인 사이버 공격을 벌이고 있는데 영국도 예외는 아니다. 워너크라이(WannaCry) 랜섬웨어 유포 사건은 북한이 영국을 대상으로 벌인 대표적인 사이버 공격으로 2017년 5월 영국 국민보건서비스(NHS) 산하 48개 병원의 컴퓨터 시스템이 마비된 바 있다.

워너크라이 랜섬웨어는 윈도 OS의 파일 및 프린터 등을 공유하는 SMB 프로토콜의 취약점을 악용한 행태로, 감염이 되면 .ai, .gif 등의 확장자명 파일을 ‘.WCRY’라는 확장자로 암호화해 복호화 없이는 사용할 수 없도록 만들었다. 또한 PC 내 파일을 암호화한 후 익명성이 보장되는 비트코인을 이용해 300달러를 지불할 경우에만 암호를 풀 수 있는 마스터키를 전달한다는 메시지 창을 띄웠다. 워너크라이 랜섬웨어가 여타 랜섬웨어와 달리 급속도의 감염 확산이 가능했던 이유는 스스로 복제가 가능한 웜(Worm) 코드가 포함돼 있었기 때문이다. 웜 코드가 포함된 랜섬웨어는 감염된 PC에 연결돼 있는 네트워크상에서 스스로 윈도 OS 취약점을 검색해, 취약점 패치가 이뤄지지 않은 PC를 감염시킨 것으로 나타났다.

북한 소재 드라마 제작사를 해킹한 사건도 있었다. 영국 방송사 채널4에 따르면 지난 2014년 8월 북한에 포로로 잡힌 영국의 핵 과학자의 이야기를 다룬 드라마 ‘오보지트 넘버(Opposite Number)’의 제작 계획을 발표한 직후 제작사인 매머드 스크린이 연달아 컴퓨터 해킹 공격을 당했으며, 그 배후가 북한으로 드러났다고 밝혔다. 실제 북한은 채널4가 해당 드라마 제작 계획을 발표했을 당시 “중상모략을 꾸미는 소극(笑劇)”이라며 영국 정부에 양국의 관계를 해치지 않으려면 제작 계획을 철회하도록 하라고 요구한 바 있다. 당시 북한이 심은 악성 코드는 매머드 스크린이 보유한 컴퓨터의 70%를 파괴해 직원들은 종이와 전화로만 업무를 봐야 했다. 또한 북한의 해킹 공격 이후 투자자를 찾지 못해 결국 드라마 제작이 무산된 것으로 알려졌다.