미국 사이버 보안업체 ‘파이어아이(Fireeye)’ 가 최근 발표한 북한 해킹 보고서의 그래픽. 북한 해킹 조직 ‘APT 37’의 공격을 받은 국가와 지역으로 한국과 베트남, 일본, 중동을 붉게 표시했다.
미국 사이버 보안업체 ‘파이어아이(Fireeye)’ 가 지난해 9월 발표한 북한 해킹 보고서 그래픽. 북한 해킹 조직 ‘APT 37’의 공격을 받은 국가와 지역으로 한국과 베트남, 일본, 중동을 붉게 표시했다.

북한이 새 변종 악성코드를 사용해 핵심 방위산업체와 에너지 회사들을 공격했다고, 미 국토안보부가 밝혔습니다. 악성 코드를 유포해 정보를 빼내고, 악성 웹 문서를 미끼로 접근해 해당 전산망에 정보 수집용 악성 코드를 심었다는 분석입니다. 김시영 기자의 보도입니다.

미국 국토안보부(DHS) 산하 사이버안보·기반시설안보국(CISA)은 19일, 북한 정부가 ‘블라인딩캔(BLINDINGCAN)’이라는 이름의 원격 접속 방식 변종 멀웨어를 사용한 것을 발견했다고 밝혔습니다.

CISA는 이날 공개한 ‘멀웨어 분석 보고서(MAR)’를 통해 이같이 밝혔습니다.

보고서에 언급된 ‘원격 접속 트로이목마(Remote Access Trojan)’는 멀웨어에 쓰이는 바이러스 형태의 하나로, 공격 대상 전산망에 원격으로 일종의 비밀 통로를 만드는 것이 특징입니다.

보고서는 미 정부가 ‘히든 코브라’로 부르는 북한 해커들이 올해 초 이 같은 원격 접속을 위한 악성 코드를 유포해, 핵심 방위산업체와 에너지 기술 회사의 정보를 빼냈다고 설명했습니다. 

또 방산업체 등 정부 계약업체들을 대상으로 구직 공고 등으로 위장한 악성 웹 문서를 미끼로 접근해 해당 전산망에 정보 수집용 악성 코드를 심었다고 밝혔습니다.

실제 보고서에 공개된 악성 코드가 담긴 문서에는 미 방산업체 ‘보잉’사의 상표와 항공기 이미지가 포함돼 있으며, 인사 담당자가 해당 문서를 보낸 것처럼 꾸며 피해자가 문서를 실행하도록 유도했습니다.

분석 과정에 함께 참여한 FBI는 해커들이 우회 서버(proxy server)를 이용하는 방식으로 표적 전산망에 대한 접속을 유지해 왔을 가능성이 높다고 설명했습니다.

보고서는 히든 코브라와 연관된 멀웨어의 특징으로 ‘iconcache.db’라는 파일명을 제시하고, 이 파일이 변종 멀웨어를 실행하는 역할을 한다며 사용자들의 주의를 당부했습니다.

미 국토안보부 산하 사이버안보·기반시설안보국(CISA).

CISA는 이번에 발견된 북한 원격 접속 멀웨어의 세부적 공격 형태나 대상에 대한 VOA의 질문에 별도의 답변을 하지 않았습니다.

미국 사이버 사령부는 20일 이번 북한의 원격 접속 변종 멀웨어 포착과 관련해 VOA에, 사이버 담당 정부 부처들과 공조를 통해 북한의 사이버 행위로 밝혀진 악성 멀웨어 표본을 공개해 왔다고 밝혔습니다.

[서면답변:미 사이버사령부 대변인] “Along with our inter-agency partners, USCYBERCOM has disclosed multiple malware samples that have been attributed to North Korean malicious cyber actors; this is part of an ongoing effort to provide private industry and the public sector with information to defend their systems and infrastructure.”

그러면서 이는 민간 업계와 공공 부문에 시스템과 기반시설을 보호하기 위한 정보를 제공하는 노력의 일환이라고 덧붙였습니다.

이어 국방부, CISA, FBI간 공조를 통해 최근 7건의 북한 연관 변종 멀웨어를 발견했다며, 해외로부터의 사이버 위협에 대응하기 위한 조치를 사령부 차원에서 이어가고 있다고 설명했습니다.

워싱턴의 민단단체인 민주주의수호재단의 매튜 하 사이버 안보 선임연구원은 20일 VOA에, 최근 몇 주간 사이버 보안 회사들로부터 전 세계 특정 목표를 대상으로 한 다양한 사이버 공격이 보고돼 왔다고 지적했습니다.

[녹취:하 연구원] “In the recent weeks there have been a lot of private cyber security companies reporting on various attacks going on these specific targets worldwide. This almost shows the U.S. government is attributing these attacks to the North Korean regime.”

그러면서  이번 보고서를 통해 미 정부가 그 동안 포착됐던 사이버 공격들을 북한 정권의 소행으로 지목한 셈이라고 말했습니다.

하 연구원은 또 미국의 항공 방산업체를 노린 점을 감안할 때 한국과 미국의 공군력에 대한 정보를 파악하기 위한 목적이었을 수 있다고 덧붙였습니다.

VOA뉴스 김시영입니다.