남북이 비무장지대(DMZ) 감시초소(GP)를 파괴하고 평화의 지대로 만들어나가는 노력을 계속하고 있지만, 사이버 세상에서의 전쟁은 변함없이 이어지고 있다. NSHC의 ‘월간 해킹 그룹 동향 보고서 11월호’에 따르면 북한 정부의 지원을 받는 해킹그룹이 11월 한 달 동안 4개의 새로운 활동을 벌인 것으로 탐지됐다.
NSHC가 ‘섹터A’라고 명명한 북한 정부 지원 그룹 중 일부는 10월 말부터 11월 말까지 악성코드 변형을 새롭게 제작해 유포하고 있으며, 우리나라 정부의 외교·정치 관련 정보를 수집하고 있는 것으로 분석됐다.
섹터A에 속한 또 다른 그룹 ‘라자루스’는 우리나라와 아르헨티나를 비롯한 남미 금융권을 대상으로 금융정보 탈취 목적의 공격을 진행하고 있으며, 특히 우리나라에서는 암호화폐 거래소와 개인을 대상으로 해킹을 시도하고 있다. HWP 한글 악성파일로 공격하는데, 11월 3종류의 악성파일이 발견됐으며 이들은 과거 사용한 악성코드에서 일부 코드만 수정한 것이다. 더불어 라자루스 그룹은 상용 원격제어 소프트웨어 ‘팀뷰어’ 소스코드를 기반으로 제작한 악성코드도 사용했다.
정치적 목적 위한 해킹 활동 이어가
이 보고서에서는 중국, 러시아 등의 정부지원 해킹 그룹 활동에 대해서도 분석했다. NSHC가 ‘섹터B’라고 명명한 중국 정부 지원 해커 그룹은 일본, 베트남 등 아시아 국가를 대상으로 MS 오피스의 알려진 코드 실행 취약점을 이용한 스피어피싱을 진행했다.
러시아 정부 지원을 받는 ‘섹터C’는 영국, 폴란드, 프랑스, 독일, 우크라이나 등 유럽 일대와 미국 등 북미 지역의 공공·정부기관을 공격했다. 11월 미국 중간선거 기간 동안, 2016년 미국 대통령 선거전에서 발생한 민주당 해킹과 비슷한 양상을 보이고 있다는 점에서 주의해야 할 필요가 있다.
러시아와 갈등관계에 있는 유럽 국가들이 공격대상이 됐다는 점은 주목할만하다. 우크라이나는 정치적 문제와 천연자원을 둘러싼 갈등이 있으며, 최근에는 러시아 해군이 우크라이나 해군 선박을 나포하는 상황도 발생했다.
NSHC는 “섹터C의 공격활동은 정치적 목적으로 정보를 수집하거나 상대국의 사회할동을 방해할 목적으로 공격하는 것으로 분석된다”며 “이들의 해킹 기법은 스피어피싱 이메일을 이용하며, 악성코드가 포함된 매크로를 이용하거나 MS 오피스의 알려진 취약점을 이용하는 방식”이라고 설명했다.
