북한 연계 해킹 조직이 전 세계 1억 명 이상의 프로그램 개발자들이 사용하는 소프트웨어 코드 공유 플랫폼 '깃허브(GitHub)'를 해킹 명령 서버로 악용해 한국 기업들의 보안망을 뚫고 있다고 사이버 보안업체가 밝혔습니다.
글로벌 사이버 위협을 전문으로 분석하는 ‘포티가드 랩스’는 6일 공개한 보고서에서 북한 연계 해킹 조직이 한국 기업 임직원들을 표적으로 삼아 '전략적 파트너십 상세 제안서', '미래에셋 펀드 상세 제안서' 등 관련 직종 종사자들이 무심코 열어볼 법한 제목의 파일을 미끼로 사용하고 있다고 밝혔습니다.
보고서에 따르면 피해자가 파일을 열면 정상 문서가 화면에 표시되는 동안 백그라운드에서는 악성 스크립트가 은밀하게 실행되며, 일단 감염되면 피해자의 컴퓨터가 30분마다 시스템 정보와 네트워크 상태를 해커에게 자동으로 전송하도록 설계됐습니다.
이번 공격이 특히 주목받는 이유는 북한 추정 해킹 조직이 ‘깃허브’를 해킹 명령 서버로 활용했기 때문입니다.
깃허브는 마이크로소프트가 운영하는 소프트웨어 코드 저장·공유 플랫폼으로 전 세계 대부분 기업들의 소프트웨어 개발에 활용됩니다.
특히 대부분의 기업 보안 시스템은 깃허브를 안전한 정상 트래픽으로 허용하고 있어, 해커들이 이 플랫폼을 통해 악성 명령을 주고받으면 보안 필터가 이를 걸러내지 못하는 치명적인 약점이 있다고 보고서는 지적했습니다.
보고서는 또 초기 공격 파일에서는 북한 국가 지원 해킹 조직인 김수키, APT37, 라자루스 등이 자주 사용하는 '한글 문서'라는 식별 흔적이 발견됐지만, 최근 공격에서는 이 같은 흔적을 아예 지우는 방향으로 수법이 고도화되고 있다면서 북한임을 특정하기가 갈수록 어려워지고 있다고 말했습니다.
보고서는 이번 사례가 해커들이 기업과 개발자들이 매일 사용하는 신뢰할 수 있는 플랫폼 자체를 무기로 삼는 상황에서 기존 보안 필터와 백신만으로는 방어에 한계가 있음을 보여준다고 평가했습니다.
그러면서 개인과 기관들에 출처가 불분명한 파일을 열지 말고 비정상적인 시스템 활동을 상시 모니터링할 것을 권고했습니다.
VOA 뉴스