지난 2014년 한국수력원자력을 공격한 북한의 해킹 그룹 김수키(Kimsuky)가 최근 국내 웹사이트를 공격한 사실이 포착됐다. 같은날 동일 조직으로 추정되는 ‘금성121’ 그룹이 북한 관련 단체 활동가들을 대상으로 한 공격도 진행한 바 있어 북한 관련 인사들에 대한 전방위적인 사이버 공격이 이뤄지는 것으로 보인다.
이스트시큐리티 시큐리티대응센터(ESRC)는 21일 “(어제) 한국의 공공·민간기관의 정책을 연구하는 웹 사이트와 남북통일을 연구하는 특정 학술단체의 홈페이지 등이 복수로 해킹됐다”며 “웹 사이트에 악의적인 취약점 공격 코드가 삽입된 것을 확인했다” 밝혔다.
이번 해킹 공격을 받은 웹 사이트들은 외교·안보·통일분야에 소속되어 있거나, 북한 관련 연구 분야에 종사하는 사람들이 제한적으로 접속하는 곳으로 알려져 관계자들의 각별한 주의가 요구된다.
ESRC는 “현재 식별되지 않은 다른 사이트에서도 유사위협 발생 가능성을 배제하지 않고 있다”며 “추가적인 피해를 막기 위해 윈도우즈 운영체제(Windows OS)를 최신 버전 상태로 업데이트 해야 한다”고 권고했다.
문종현 ESRC 이사는 “운영체제(OS)와 각종 응용프로그램 보안업데이트가 최신 상태가 아닐 경우 특정 사이트 접속만으로도 보안 위협에 노출될 수 있다”며 “일명 워터링 홀(Watering Hole) 기법은 자신도 모르게 악성프로그램에 감염되는 매우 위험성이 높은 공격이다”라고 말했다.
문 이사는 “해커들이 재차 같은 공격을 취할 가능성이 높다”며 “관련 프로그램 보안 업데이트와 보안성이 높은 웹브라우저를 사용하는 것도 피해를 막을 수 있는 방법 중 하나”라고 설명했다.
보안 업데이트가 최신 상태가 아니면 단순히 해커가 지정한 웹사이트를 방문하는 것만으로 위협에 노출될 수 있고 만약 감염이 되더라도 이를 인지·치료하기 어려운 만큼 사전에 예방이 필수라는 것이 문 이사의 설명이다.
또한, 이번 공격은 지난 2014년 한수원을 공격했던 북한의 해킹 그룹 김수키의 소행으로 조사됐다.
ESRC는 “공격에 사용한 명령제어(C2) 서버와 일부 코드가 2014년 한수원을 공격했던 해킹조직 ‘김수키(Kimsuky)’ 위협 지표와 정확히 일치한다”며 “악성코드가 실행되면 시스템 정보, 키로깅 기능(사용자가 키보드로 PC에 입력하는 내용을 몰래 가로채어 기록하는 행위)과 함께 ‘.hwp’, ‘.doc’, ‘.pdf’ 등의 문서파일 정보가 공격자에게 보내진다”고 말했다.
ESRC는 “이번 특정 웹 사이트들의 침해 사고들이 일반 사이버 범죄 형태가 아닌, 해당 웹 사이트에 접속하는 특정 분야의 인사들을 겨냥한 의도적인 ‘워터링 홀(Watering Hole)’ 공격이다”라며 “공격자는 지난해 4월 한국의 외교·안보·통일 분야의 연구를 수행하는 싱크탱크(Think Tank) 기관 및 대북단체, 군 관련 웹 사이트를 상대로 공격을 한 바 있다”고 말했다.
워터링홀 공격은 사자와 같은 육식동물이 마치 물을 마시기 위해 모이는 초식동물을 습격하기 위해 ‘물웅덩이(Watering Hole)’ 근처에 매복 중인 형상을 빗댄 것으로, 특정한 분야의 웹 사이트에 접속하는 인물만 노린 표적형 공격방식을 의미한다.
워터링홀 공격은 정부가 배후에 있는 공격자들이 사이버 첩보 및 스파이 미션을 수행을 목적으로 진행하는 지능화된 사이버 공격 유형 중 하나다.
한편, 윈도우 기반의 운영체제를 사용할 경우 제어판의 ‘시스템 및 보안’ 부분에서 윈도우 업데이트를 클릭하면 보안 업데이트가 진행되며 자동업데이트 기능을 실행시켜 두면 보안 취약점에 노출될 위험이 상당히 낮아진다.