침해사고/위협동향

北 해킹그룹, 무차별 사이버공격? 아스트로제네카·원자력연구원도···

이종현
[디지털데일리 이종현기자] 지난 6월 한국원자력연구원을 공격한 것으로 지목된 북한 해킹그룹 ‘김수키’가 정치·의료·학계 등 전반위적인 사이버공격을 감행하고 있다는 주장이 제기됐다.

1일 허은아 의원(국민의힘)은 화이트해커와 함께 원자력연구원의 해킹 내역을 추적·분석한 결과 해당 해킹그룹이 배재정 전 의원(더불어민주당), 박형준 부산시장, 충북대 마취통증의학과 교수 등을 공격했다고 밝혔다.

해킹그룹은 추적을 피하기 위해 도메인을 수시로 바꾸는 전략을 활용한다. 보안 전문가들은 공격에 사용된 IP와 도메인의 사용내역을 되짚는 방식으로 해킹그룹의 활동을 추적한다.

허 의원은 올해 초 인터넷주소(IP) 210.16.120.34는 포털 ‘다음’ 로그인 창을 복제한 방식의 피싱 공격을 수행했다. 여기에는 작년 IP 45.13.135.103가 백신 기업 아스트로제네카와 연세의료원 등을 공격한 김수키의 해킹과 동일한 피싱코드가 사용됐다.

210.16.120.34의 공격 대상에는 배재정 전 의원, 박형준 부산시장 등 유명인사와 일반 국민 다수가 포함됐다. 허 의원은 “누구나 북한의 해킹 공격 대상이 될 수 있는 만큼 정보 보안 유지가 필요하다”고 강조했다.

한편 북한은 공격 사실에 대해 부인하는 상황이다. 지난 7월 북한 선전매체 ‘우리민족끼리’에는 “저들의 불찰과 저열한 기술로 인해 해킹당했으면 내부에서 원인을 찾아야지 아무런 관련도 없는 대상과 억지로 연결시킨다”는 내용의 논평이 게재됐다.

하지만 국내외 전문가들은 공격 주체가 북한이 맞다고 주장한다. 국내 북한 사이버테러 전문연구그룹 이슈메이커스랩과 이스트시큐리티, 대만 사이버보안 인텔리전스 업체 팀티파이브 등은 북한의 공격이라고 밝혔다. 국가정보원도 공격 배후로 북한을 지목했다.

미국 보안기업 파이어아이와 러시아 보안기업 카스퍼스키랩 등도 북한의 사이버공격 동향을 예의주시하는 등, 북한은 전 세계를 대상으로 활발한 사이버공격을 수행하고 있는 것으로 알려졌다. 파이어아이는 북한을 이란, 중국, 러시아와 함께 주의해야 할 해커 ‘빅4’로 규정한 바 있다.

미국 법무부는 지난 연말 전 세계 은행과 기업을 대상으로 13억달(약 1조5400억원)을 훔치려 한 북한 해커 3명을 기소했다. 존 데머스 법무부 국가안보 담당 차관보는 “북한 공작원들은 총이 아닌 키보드로, 현금다발 대신 가상화폐 지갑을 훔치는 세계의 은행강도”라고 비판했다.
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널