국가정보원은 지난해 11월 행정안전부와 공공기관 주차장 정보시스템에 대한 전수조사에 나섰다. 같은 달 공공기관과 민간기업의 주차장 관리를 대행해 온 A사가 해킹을 당한 데 따른 조치였다. A사는 지자체와 지방교육청 등 공공기관에 입·출차 정보 관리, 주차요금 정산 등의 서비스를 제공하고 있다.
국정원은 해커들이 A사를 노린 배경을 의심했다. 보안 사각지대인 주차관리 대행업체를 해킹해 공공기관 내부망에 침투할 목적으로 공격에 나선 것으로 본 것이다. 국정원 관계자는 9일 “조기에 발견해 큰 피해는 발생하지 않았으나 많은 사용자가 이용 중인 소프트웨어가 공급망 공격에 악용될 경우 심각한 피해가 우려된다”고 말했다.
━
일시에 대량의 자료 유출 우려
이번 사건은 최근 국정원이 주목하는 ‘공급망 해킹 공격(supply-chain attack)’의 한 사례다. 주자장 정보를 관리하는 A사와 같은 네트워크 관리 기업에 해커가 침투해서 악성 프로그램이나 악성코드를 삽입하는 식이다. 공급망 해킹은 대량의 자료가 일시에 유출될 수 있다는 점이 가장 우려된다.
지난해 말 미국의 IT인프라 관리 기업 솔라윈즈에 대한 공급망 공격이 대표적이다. 외신은 미 재무부, 국무부, 국토안보부, 국립보건원 등을 비롯해 핵무기를 담당하고 있는 에너지부와 국가핵안보실(NNSA)도 해킹당했다고 보도했다. 국내에선 지난 2011년 북한의 해킹 공격으로 농협 전산망이 마비된 사례가 있었다.
국정원은 A사에 대한 해킹 주체로 북한을 특정하진 않았다. 그러나 국내 보안업계에 따르면 지난해 5월 국내에서 발생한 위즈베라의 보안 프로그램 ‘베라포트’에 대한 해킹 공격은 북한의 해커조직 ‘라자루스(Lazarus)’가 배후에 있는 것으로 분석된다. 한국은 인터넷 뱅킹이나 정부 웹사이트를 방문할 때 추가적인 보안 소프트웨어를 설치해야 하는 경우가 많다. 이를 통합 설치하도록 돕는 프로그램이 베라포트다. 라자루스 외에도 김수키(Kimsuky), 금성121(Geumseong121), 코니(Konni) 등이 북한 정부의 지원을 받는 해커 조직으로 알려져 있다.
━
사이버보안 전문가 사칭 e메일도
지난해 12월에는 국내 보안업체 대표 B씨에게 사이버보안 전문가를 사칭하는 e메일로 악성코드를 심으려 한 시도도 있었다. 자신을 유럽에서 일하는 전문가라고 소개한 그는 활동 내용과 실적을 소개하며 ‘사이버보안 합작 사업 및 공동 연구 프로젝트’를 제안했다. 본인의 이력서를 확인해달라며 직접 접속이 가능한 URL도 덧붙였다. B씨가 국정원에 해킹 여부를 문의한 결과 메시지에 첨부된 URL에 악성코드가 숨겨져 있었다.
구글의 보안팀인 위기분석그룹 TAG(Google Threat Analysis Group)도 지난달 26일(현지시간) “해외 사이버보안 연구자들에 대한 북한 해커들의 공격이 확대되고 있다”고 밝혔다. 구글은 트위터, 링크드인, 텔레그램 등 다양한 소셜네트워크서비스(SNS)에서 가짜 개인 정보를 이용해 보안 연구원들에게 접근한 사례가 발견됐다고 보고했다.
공급망 해킹은 정상적인 소프트웨어 업데이트 파일에 악성코드를 심는 식이어서 탐지하기가 매우 어려운 편이다. 보안기업 이스트시큐리티의 문종현 시큐리티 대응센터장은 “공급망 공격은 정상 프로그램 기능이 무력화되고 악성 기능이 작동되는 게 아니라, 원래 프로그램 기능은 다 작동하면서 악성코드가 활동하는 것”이라며 “따라서 탐지도 어렵고, 분석도 어렵다”고 말했다.
━
“철저한 보안관리, 정기적 업데이트” 중요
국정원은 지난달 29일 한국정보보호산업협회(KISIA)를 통해 사이버보안 업체들에게 공급망 해킹 공격에 대한 주의를 당부했다. 국정원 관계자는 “소프트웨어 제조사는 개발 단계부터 해킹에 대비하고 정기적인 취약점 점검 등 철저한 보안관리를, 사용자는 정기적인 보안 업데이트를 통해 해킹 피해 예방에 만전을 기해야 한다”고 말했다.