미 정보기관 “북한 소행 변종 악성코드 확인”

크리스 크렙스 미 국토안보부 산하 사이버안보·기반시설안보국 국장.

미국의 정보기관들이 북한 정부가 변종 악성코드를 유포하고 악의적 사이버 활동을 벌인 정황을 파악한 수사보고서를 공개했습니다. 북한 정권의 악성 사이버 활동에 대한 방어 능력과 경각심을 높이기 위해서라고 밝혔습니다. 조상진 기자가 보도합니다.

미 국방부와 연방수사국(FBI), 국토안보부(DHS)는 지난달 31일 공개한 보고서에서 북한 정부의 해킹조직 ‘히든 코브라’의 악성코드 유포 행위를 확인했다고 밝혔습니다.

국토안보부 산하 사이버안보.기반시설안보국(CISA)에 따르면 이들 기관들은 악성코드를 추적·분석해 북한 정부가 사용하는 트로이 악성코드의 변종을 확인했습니다. 이 변종 코드는 홉라이트(HOPLIGHT)의 일종인 것으로 나타났습니다.

앞서 미 국토안보부와 연방수사국은 지난 4월 발표한 보고서에서 북한 정부가 홉라이트를 만든 것으로 결론지었고, 9월에는 미 사이버사령부가 11종의 북한 소행 홉라이트 악성코드를 공개하고 위험성을 경고한 바 있습니다.

보고서는 이번에 공개된 악성코드가 기존 홉라이트의 변종이라고 밝혔습니다.

홉라이트는 컴퓨터의 보안 취약점, 백도어에 설치되는 멀웨어의 일종으로 인터넷 방화벽을 뚫고 들어와 원격으로 컴퓨터를 조종할 수 있는 것이 특징입니다.

감염되면 해커가 마음대로 파일을 올리거나 내려받고, 파일을 옮기거나 삭제할 수 있으며, 컴퓨터 자체를 완전히 망가뜨리는 파괴공작도 원격으로 가능해집니다.

보고서는 홉라이트와 관련해 모두 20개의 악성 실행파일을 분석해 찾아냈으며, 이 가운데 16개는 악성코드와 원격조종자 간 통신 내역과 네트워크 연결을 위장하는 프록시 응용프로그램이라고 설명했습니다.

나머지 파일에는 사용자의 컴퓨터와 서버 간 연결 시 신원을 확인하는 디지털 인증서인 가짜 공용 SSL 인증서와 암호가 담겨 있던 것으로 분석됐습니다.

보고서를 발표한 CISA의 크리스 크렙 국장은 최근 연례 사이버안보 회의에 참석해 북한이 정권 차원에서 사이버 공격에 집중하고 있다며, 적국의 악성 사이버 행위에 대응하기 위해 정부 부처와 민간업체 간 협력을 강화하고 있다고 말했습니다.

[녹취: 크렙 국장]“We have a pretty good idea what the tactics techniques and procedures are for this adversary or that they might use. We can start developing packages of defensive measures.”

국방부와 국토안보부, 연방수사국은 이번 보고서가 세 기관의 오랜 노력의 결과물이라며, 북한 정부가 사용하는 악성코드를 추적하던 중 변종 프로그램의 존재를 확인했다고 밝혔습니다.

그러면서 “미국 정부는 북한의 악의적인 사이버 활동을 ‘히든 코브라’라고 부른다”고 명시해 북한 정부와 연계된 해킹조직 ‘히든 코브라’의 소행임을 분명히 했습니다.

히든 코브라는 라자루스, 또는 평화의 수호자 등으로 불리는 북한 해킹조직으로 미국과 한국에 대규모 디도스 공격을 가하고 2014년 소니영화사 해킹, 2016년 방글라데시 \은행 해킹 등 전 세계적인 사이버 공격을 펼쳐온 것으로 알려져 있습니다.

이번 보고서는 북한 정권의 악성 사이버 활동에 대한 네트워크 방어를 활성화하고 악의적 공격에 노출되는 것을 줄이기 위해 공개했다고 세 정부 기관은 밝혔습니다.

그러면서, 사용자나 관리자들이 이 악성코드와 관련된 활동을 포착할 경우 즉시 국토안보부 사이버보안국이나 연방수사국에 신고하고 지침에 따라 예방 활동을 최우선적으로 진행해줄 것을 당부했습니다.

VOA 뉴스 조상진 입니다.

독자 제보: VOA는 독자 여러분의 제보를 기다리고 있습니다. 기사화를 원하는 내용을 연락처와 함께 Koreanewsdesk@voanews.com 이메일로 보내주시면 뉴스 제작에 적극 반영하겠습니다. 제공하신 정보는 취재를 위해서만 사용되며, 제보자의 신분은 철저히 보호됩니다.