방산업체-국회의원 추정 PC 공격… 신종 ‘사이버 스파이’ 활동 포착

러 보안업체 “기밀정보 다수 유출”
韓日 타깃 삼아 2011년부터 집중 해킹

해커의 공격으로 국내 방위산업체 및 국방 관련 기관에서 기밀 정보가 다수 유출된 것으로 드러났다. 특히 공격 대상에 현역 국회의원과 연관된 PC도 포함돼 있어 파장을 몰고올 것으로 보인다.

러시아의 글로벌 보안업체 카스퍼스키랩은 26일 “한국 방위산업체 및 국방 관련 기관을 노린 해커조직 ‘아이스포그(Icefog)’의 활동 정황이 드러났다”고 밝혔다. 카스퍼스키랩에 따르면 아이스포그는 한국과 일본을 타깃으로 한 6∼12명의 전문적인 지능형지속해킹(APT) 공격 조직으로 2011년부터 활동을 벌였으며 최근까지 공격 대상과 규모를 계속 확대해 왔다.

일부 국내 방위산업체와 국방 관련 대학 및 연구기관, 해병대 동문 조직 등이 공격을 받은 것으로 확인됐다. 공격 대상에는 새누리당 A 국회의원의 것으로 추정되는 PC도 포함됐다. 보안업계 관계자는 “A 의원의 영문 이름이 사용자명으로 돼 있는 PC에서 다수의 한글 파일이 유출된 정황이 포착됐다”며 “청와대 관련 업무 문서를 비롯해 해당 의원의 대학 동문 명단, 각종 주소록까지 다수의 문건이 빠져나갔다”고 말했다.

해커들은 e메일을 통해 악성코드를 유포했으며, 이 악성코드는 감염 PC의 e메일 주소록을 긁어 다시 악성코드를 유포했다. 이들은 악성코드를 이용해 PC의 시스템 접속 아이디와 비밀번호, e메일 계정 정보 등을 빼냈다. 카스퍼스키랩 관계자는 “이번 공격은 치밀한 ‘치고 빠지기’ 수법이 특징”이라며 “며칠 또는 몇 주간 정보를 빼낸 뒤 즉시 유출 흔적을 지웠다”고 설명했다. 해커들은 국방 관련 프로젝트 문서를 집중적으로 빼냈으며 ‘분할 압축기술’을 사용해 TB(테라바이트·1024GB) 수준의 대규모 정보도 탈취했다.

카스퍼스키랩은 “해커들은 중국에 근거지를 두고 특정 파일명을 검색해 원하는 파일만 골라 빼냈다”며 “여러 정황으로 볼 때 이들은 누군가에게 고용돼 지시를 받고 움직이는 ‘사이버 용병’으로 보인다”고 설명했다. 이어 “한국과 일본, 중국, 미국 등지의 4000개 이상 IP가 감염됐으며 파악된 피해자만 수백 명에 이른다”고 덧붙였다.

한국인터넷진흥원(KISA)은 이날 “국내에서 90여 대의 PC가 감염된 것으로 추정된다”며 “피해 확산을 막기 위해 악성코드를 지휘하는 서버를 차단했다”고 밝혔다.

임우선 기자 imsun@donga.com