정찰총국, 4차핵실험 직전 홈피 해킹… 악성코드에 명령 내리는 서버로 삼아
북한이 4차 핵실험 직전 지하철 통제 시스템을 생산 및 관리하는 국내 기업 A사 공식 홈페이지를 해킹한 뒤 추가 사이버테러의 ‘전진기지’로 활용한 사실이 처음으로 확인됐다. A사가 개발한 통제 시스템은 현재 일부 수도권과 지방 지하철 운영업체들이 사용하고 있어 국내 지하철 운행에 타격을 주기 위한 사전 작업이 아니냐는 분석도 나오고 있다.
26일 북한 사이버 테러를 감시하는 국내 화이트 해커 모임인 이슈메이커스랩에 따르면 북한 정찰총국은 지난해 12월 중순경 신종 악성코드로 A사 홈페이지를 해킹해 관리자 권한을 확보했다. 또 다른 악성코드들을 어느 곳에 침투시킬지, 어떤 파일을 빼낼지, 빼돌린 파일을 어느 곳으로 보낼지 등 지령을 내리는 서버로 A사 홈페이지를 활용했다.
이번에 발견된 악성코드 분석 결과 유포 조직은 2014년 서울지하철 1∼4호선을 운영하는 서울메트로 핵심 컴퓨터 서버를 해킹해 5개월 이상 장악했던 세력과 같은 것으로 밝혀졌다. 당시 서울메트로 PC 관리 프로그램 운영 서버 등 서버 2대가 해킹당해 PC 58대가 악성코드에 감염됐다. 또 PC 213대에서 외부 접속 흔적이 확인됐다. 당시 서버에서 어떤 자료가 유출됐는지 확인이 되지 않았다. 현재로서는 A사에서도 얼마나 많은 자료가 유출됐는지 알 수 없는 상태다.
이슈메이커스랩 사이먼 최 대표는 “4차 핵실험 전후로 발견된 신종 악성코드 상당수가 빼낸 정보를 A사 홈페이지로 보내고 있었다”며 “해당 업체는 중소기업이지만 열차 제어 장치 ATC(Automatic Train Control)를 개발하는 등 업무 성격상 역무 자동화, 통신 시스템 자료 등 안전과 직결되는 정보들이 빠져나갔을 가능성을 배제할 수 없다”고 말했다.
보안업계에서는 북한 정찰총국의 사이버 공격이 2014년 이후부터 공공시설물에 집중되고 있다는 점을 우려하고 있다. 실제 북한 정찰총국은 2014년 3월 서울메트로 해킹을 성공한 뒤 지속적으로 철도 관련 공공기관 및 민간시설을 공격해 왔다. 2014년 8월에는 한국철도공사(코레일) 핵심 직원 PC가 해킹돼 네트워크 구성도, 주요 정보통신 기반시설 점검 계획 등 53개 파일이 유출됐다. 일부 북한 정찰총국 악성코드에는 아예 작전명이 열차를 뜻하는 ‘Train’인 경우도 있었다.
정보당국과 보안업계에서는 최근 북한 정찰총국이 사이버전 조직을 공격 대상 성격별로 나눠 운영하고 있다고 파악한다. △국가 기밀 정보 수집 및 사회 혼란을 담당하는 A팀 △군사 기밀 수집 및 국가기간망 침투를 담당하는 B팀 △외교 통일 안보 등과 관련된 국내외 정보를 수집하는 C팀이다.
이번 해킹 사건을 주도한 B팀은 2013년 3·20 방송·금융 사이버테러, 2014년 이후 코레일, 서울메트로 등 공공시설물 관련 해킹 사건 등을 벌였다. 2013년 이전까지는 군 관련 웹사이트를 공격했으나 2014년부터 상대적으로 보안이 취약한 철도 항공 분야를 집중 공격하고 있다.
이 기법은 이전까지는 국내에서 암약하는 간첩들이 주로 사용한 방법이다. 휴대용 저장장치(USB메모리) 등에 온갖 첩보를 저장할 때 주변의 의심을 피하고, 발각되더라도 첩보 내용이 새나가지 않도록 이 방법을 활용했다. 2011년 북한 지령으로 국내에서 간첩 활동을 벌인 혐의로 적발된 종북 성향 지하당 조직 ‘왕재산’도 수사기관의 추적을 피하기 위해 이 기법을 썼다.
최 대표는 “지금까지 북한 정찰총국은 해외 사이트를 이용해 국내에 퍼진 악성코드를 관리해 왔지만 최근 국내 주요 보안 및 공공기관 관련 사이트 등을 활용하는 경우도 늘고 있다”며 “사이버전 수행 조직을 꾸준히 양성하며 기술력을 갖춘 해킹 조직이 늘어나자 그 수법도 점차 대담해지고 있는 것”이라고 분석했다.
서동일 dong@donga.com·곽도영 기자