北, 국내 대규모 사이버테러 준비…악성코드 ‘유령 쥐’로 해킹

북한 국내 대기업 그룹 전산망 사이버테러 공격 개요도. /경찰청 제공.

북한이 국내 대기업에서 사용 중인 기업 PC관리시스템의 취약점을 발견, 이를 통해 전산망 마비 공격 등 대규모 사이버 테러를 준비했던 것으로 드러났다.

경찰청 사이버수사과는 지난 2월 북한에서 제작한 것으로 추정되는 악성 프로그램 ‘유령 쥐(Ghost Rat)’ 관련 첩보를 입수, 수사를 통해 이 같은 사실을 확인했다고 13일 밝혔다..

북은 사이버테러를 시도하기 위해 2014년 7월 이후 사전 준비를 하고 있었던 것으로 확인됐다.

경찰은 수사기간 33종의 북한 악성코드를 확보·분석해 16대 공격서버를 확인했다. 북한 공격서버의 디지털포렌식(전자증거 분석을 통한 자료 복원)으로 그간 탈취한 문서 4만2608건(방위산업 관련 정보 등 4만187건, 통신설비 등 관련 자료 2421건)을 확인했다.

이 과정에서 2013년 3월20일 방송·금융 전산망 사이버테러 공격 IP와 동일한 북한 평양 류경동 IP에서 이들 기업을 대상으로 사이버테러 준비, 업무용 파일 탈취 등 행위가 이뤄진 것도 파악했다.

북한이 해킹에 사용한 PC관리시스템은 한 민간업체가 제작했다. 관리자 권한이 없어도 원격 접속해 임의로 파일배포·원격제어를 할 수 있는 치명적인 미인증 우회 취약점이 있었다. 하지만 이 업체는 이런 취약점을 인지하지 못했다.

북한은 이를 통해 SK·한진그룹 등 대기업의 사이버테러를 할 수 있는 수준의 서버·PC통제권을 탈취한 상태에서도 즉시 공격하지 않았다. 이렇게 숨겨둔 후 또 다른 사이버테러 공격 대상을 확보하기 위해 지속적으로 해킹을 시도했다.

경찰 관계자는 “북한이 다수의 사이버테러 대상을 폭넓게 확보한 후 동시에 공격을 가해 국가적 혼란을 노렸던 것으로 보인다”고 말했다.

또한 기업이 보유한 방위산업 자료나 사이버테러에 유용한 네트워크 전산 자료를 탈취하기도 했다.

이와 함께 원격제어, 정찰, 해킹 기능이 있는 다양한 악성코드를 제작해 중소기업, 대학연구소, 개인 홈페이지 등 보안에 취약한 서버를 중심으로 공격서버로 활용한 사실도 확인했다.

경찰 관계자는 “앞으로도 주요 공공기관과 기업들에 대한 북한의 사이버 공격을 조기에 탐지해 사전 차단하는 활동에 주력해 나갈 계획”이라고 말했다.