미국 내 사이버 안보를 담당하는 사이버안보·기반시설 안보국이 보잉사 등 미국 방산업체를 대상으로 한 북한의 변종 멀웨어, 즉 악성 소프트웨어 활동을 포착했다고 밝혔습니다. 미국 내 전문가는 미국 정부가 북한을 특정한 점에 주목하면서 이들의 목적이 해당 업체들로부터 첨단 군사 정보를 탈취하는 것이었을 수 있다고 분석했습니다. 김시영 기자의 보도입니다. (영상취재: 김선명 / 영상편집: 강양우)
미국 국토안보부 산하 사이버안보·기반시설안보국 CISA는 19일 북한 정부가 ‘블라인딩캔’이라는 이름의 원격 접속 방식의 악성 소프트웨어인 변종 멀웨어를 사용한 것을 발견했다고 밝혔습니다.
CISA는 이날 공개한 멀웨어 분석 보고서를 통해 이같이 밝히고 이번 분석은 사이버안보 기반시설안보국과 미국 연방수사국 FBI의 공조로 이뤄졌다고 설명했습니다.
FBI는 특히 이번 공격이 북한 해커 집단 ‘히든 코브라’에 의해 이뤄졌으며, 우회 서버를 이용하는 방식으로 표적 전산망에 대한 접속을 유지해 왔을 가능성을 높게 본다고 밝혔습니다.
해킹 조직들이 미국 내 방산업체 등 정부 계약자들을 겨냥해 구직 공고 등으로 위장한 악성 웹 문서를 미끼로 사용해 해당 전산망에 악성 코드를 심었다는 설명입니다.
또 이들 해킹조직은 이같은 수법으로 올해 초 핵심 방위산업체와 에너지 기술 회사의 정보를 빼냈다고 밝혔습니다.
실제 보고서에 공개된 악성 코드가 담긴 문서에는 미국 방산업체 보잉사의 상표와 항공기 이미지가 포함됐습니다.
뿐만 아니라 이 문서는 보잉사의 인사 담당자가 보낸 것처럼 꾸며져 있어, 피해자가 문서를 열어보도록 유도했습니다.
매튜 하 민주주의수호재단 사이버 안보 연구원은 이번 미국 당국의 보고서가 북한을 직접 지목했다는 점에 주목했습니다.
매튜 하 / 민주주의수호재단 사이버 안보 연구원
“최근 몇 주 간 맥아피나 클리어스카이사와 같은 사설 사이버 보안회사들로부터 전세계 특정 목표에 대한 다양한 사이버 공격이 보고된 바 있습니다. 이번 보고서는 미국 정부가 이 같은 공격들이 북한 정권의 소행으로 보고 있음을 보여줍니다.”
매튜 하 연구원은 또 이번 보고서의 핵심 내용으로 북한이 ‘원격 접속 트로얀’ 방식을 계속해서 쓰고 있다는 점을 지적했습니다.
오래전부터 이 같은 원격 방식을 사용해 온 북한이 이번에 미국의 항공 방산업체를 해킹해, 한국과 미국의 공군력 등을 파악하려 하는 것일 수 있다는 설명입니다.
앞서 미군 육군부가 최근 발간한 국방보고서는 북한 전자정보전 역량 중 하나로 6천 명 규모의 사이버 부대를 언급한 바 있습니다.
그러면서 정찰총국 산하 사이버전 지도국에 소속된 정보 탈취 전문 해커들이 한국의 전쟁 계획 등 군사 정보를 탈취할 가능성을 제기했습니다.
이번 북한의 멀웨어 포착과 관련해 미국 사이버 사령부는 사이버 안보 관련 부처들과 긴밀한 협조를 벌이면서 해외로부터의 사이버 위협에 대응한 지속적 개입을 사령부 차원에서 이어가고 있다고 밝혔습니다.
VOA뉴스 김시영입니다.