“北, 탈북자 사이트 공격에 ‘해킹팀’ 자료 사용”

최근 북한 해커로 추정되는 세력들이 국내의 북한 전문사이트 5곳을 해킹하면서, ‘위키리크스’로 유출된 이탈리아 ‘해킹팀’社의 자료를 활용했다고 ‘조선일보’가 보도했다.

‘조선일보’는 “북한으로 추정되는 해커는 이탈리아 업체 ‘해킹팀’의 유출자료에서 입수한 정보를 활용해 과거보다 강력해진 해킹 기법을 보여줬다”고 설명했다. 

‘조선일보’에 따르면 북한 해커로 추정되는 세력들이 공격한 사이트는 탈북자 모임, 북한연구 사이트 등이라고 한다.

문제는 북한 해커들은 이들 사이트에 접속만 해도 이용자의 PC에 자동으로 악성코드가 설치되도록 만들었다는 점이다. 이 악성코드는 이용자 PC의 모든 정보를 빼내는 것은 물론 어떤 활동을 하는지도 감시할 수 있다고 한다.

‘조선일보’에 따르면, 이번 해킹을 잡아낸 것은 국내 보안업체 ‘하우리’였다고 한다. ‘하우리’ 측의 조언에 따라 일부 사이트는 폐쇄조치를 한 것으로 알려졌다.

‘조선일보’는 “이번 7.10 북한 관련 사이트 공격은 지난 10년 동안 있었던 북한의 해킹과는 수준이 다르다”는 보안 전문가들의 의견을 인용했다. 

지금까지 북한으로 추정되는 해커들이 주로 사용하는 악성코드가 있어, 그 특징을 잡아낼 수 있었는데, 이번 해킹의 경우 이탈리아 ‘해킹팀’社의 유출 자료 가운데 있는 ‘취약점’ 공격을 응용했다는 것이다.

‘취약점’이란 개발자가 프로그램을 만들면서 관리 상의 편의를 위해 만들어두는 ‘백도어’와 달리 개발자도 모르는 ‘빈 틈’을 의미한다.

해커가 이 ‘빈 틈’을 이용해 공격하면, 프로그램은 이것이 ‘사이버 공격’이라는 것을 알지 못한다. ‘빈 틈’으로 들어가 악성코드를 깔아도 알 수가 없다.

이번에 북한 관련 사이트를 공격하는 데 이용된 ‘빈 틈’은 이용자가 접속했을 때 비디오 또는 오디오를 재생할 때 사용하는 프로그램에 있는 것으로, 해당 프로그램은 현재 국내 대부분의 PC에도 깔려 있다고 한다. 때문에 악성코드가 깔려있는 사이트에 접속만 해도 ‘악성코드’에 감염, PC를 장악 당한다는 설명이다.

‘조선일보’는 ‘하우리’ 관계자를 인용, “북한으로 추정되는 해커가 이탈리아 ‘해킹팀’의 유출 자료에서 또 다른 취약점을 찾아내, 이미 다른 국내 사이트를 공격한 뒤 장악하고 있을 가능성도 배제할 수 없다”고 전했다.

‘조선일보’는 “북한 해커들이 ‘위키리크스’르 통해 공개된 ‘해킹팀’의 정보를 습득하면 예전보다 훨씬 강해질 것”이라는 국내외 보안 전문가들의 우려를 전하기도 했다.

이탈리아 ‘해킹팀’社는 그 실력을 인정받아 미국, 이탈리아, 러시아, 중국, 이스라엘 등 35개국 97개 기관이 프로그램을 구매했다. 이 ‘해킹팀’社가 자랑하던 프로그램의 ‘원천 코드’까지도 ‘위키리크스’에 공개돼 있는데, 북한이 이를 활용할 수도 있다는 우려도 제기됐다.

국내외 보안 전문가들의 우려는 ‘기우(杞憂)’가 아니다. 이탈리아 해킹팀의 경우 세계 정보·수사기관 등과 거래를 하면서, 북한과 같이 국제사회에서 제재를 받은 국가와는 전혀 거래를 하지 않아 왔다.

때문에 북한은 항상 서방 국가들보다 한 수 뒤떨어지는 해킹 기법만을 배울 수 있었다. 하지만 이번 이탈리아 ‘해킹팀’의 자료가 모두 공개되면서, 서방 국가들이 가진 해킹 기법을 손쉽게 배울 수 있게 됐다.

현재 위키리크스에 공개돼 있는 ‘해킹팀’社의 자료는 400Gb 이상. 이 가운데 대부분은 문서로, 50% 이상이 이탈리아어로 작성된 문서지만, 포함된 내용들은 ‘기밀’ 수준이다.

북한이 위키리스크를 뒤져 ‘해킹팀’社의 자료로 ‘학습’을 시작한다면, 서방 국가 정보기관들이 북한의 해킹을 막기 매우 어려워지는 것은 물론, 한국의 경우에는 앞으로 해킹을 당해도 북한의 소행인지 알 수 없게 될 가능성이 매우 높아지게 된다.