[디지털데일리 이종현기자] 대통령 선거가 있은지 20일, 과학기술정보통신부, 국가정보원 등 국내 사이버보안 업무를 맡고 있는 기관들이 긴장 상태를 유지 중이다. 정권 교체기를 노린 북한의 사이버 위협에 대비하기 위함이다.
29일 보안업계에 따르면 현재 국내 민·관·군 사이버보안 컨트롤타워는 사이버위기경보 ‘주의’를 발령한 상태다. 기업 및 기관의 대비태세를 점검하고 상시 모니터링을 강화했다.
위기경보를 발령한 것은 정권 교체기를 노리는 북한의 해킹 위협 및 우크라이나를 침공한 러시아에 의한 위협 탓이다.
국가정보원은 작년 12월 2021 사이버안보센터 연례보고서에서 ‘대선 관련 국가배후 해킹조직의 우리 안보현안·정부정책 정보 절취 집중’을 2022년 위협전망으로 꼽았다. 북한이 대통령 선거 전후로 우리 정부의 대미·대북 정책에 대한 정보를 훔쳐내려는 시도가 늘어날 것이라는 전망이다.
국내 보안기업들도 북한발 위협을 연일 경고하고 있다. 이스트시큐리티는 지난 18일 통일부 자료를 사칭한 해킹 공격을 발견해 이를 알린 바 있다. 통일부 남북관계 주요일지라고 적혀 있는 문서파일과 함께 피싱 사이트로 연결되는 인터넷주소(URL) 링크를 보내는 방식을 취한 공격이다.
안랩 시큐리티대응센터(ASEC)는 23일 PDF 문서로 위장해 유포되는 지능형지속위협(APT) 공격을 경고했다. VBS 확장자의 스크립트 파일을 실행시 정상 PDF 파일을 실행시키는 동시에 악성 DLL 파일로 정보유출 기능을 수행하는 유형이다. 공격 배후는 북한 유명 해킹조직으로 알려진 김수키로 지목됐다.
최근 구글에 인수된 글로벌 보안기업 맨디언트는 북한 사이버공격의 ‘스위스 군용 칼(Swiss Army Knife)’처럼 활용되는 공격그룹 ‘뷰로325’를 조명했다.
맨디언트 수석 애널리스트 마이클 반하트(Michael Barnhart)는 “뷰로325의 활동은 단기간에 크게 진화했다. 이들의 활동은 현재 코로나19 백신 정보 취득 시도에서부터 암호화폐 갈취, 핵 거래 비밀 탈취에 이르기까지 다양하다. 이러한 활발한 공격은 뷰로325가 북한의 새로운 ‘올스타팀’이라는 것을 의미한다”고 말했다.
이어 “뷰로325가 그룹 내에서 각각의 고유한 전문성을 가진 다양한 하위 집단을 조직할 것으로 예상한다. 이 그룹이 점차 사이버 공격을 늘려가고 있는 만큼, 모든 조직은 이들의 공격에 방어하고 대비하는 법을 익혀야 할 것”이라고 부연했다.
국내 보안업계 관계자는 “대통령 교체기는 전통적으로 북한의 공격 위협이 폭증하는 시기다. 보안 담당자들뿐만 아니라 국민 개개인들도 경각심을 가져 출처가 불분명항 URL 클릭이나 파일 다운로드는 주의하는 등 기본적인 보안수칙을 준수해야 한다”고 당부했다.
한편 국가정보원 등은 북한에 더해 러시아발 해킹 위협도 예의주시하고 있다. 러시아가 자국을 대상으로 경제 제재에 들어선 국가에게 사이버보복을 하리라는 우려가 커지는 가운데, 우리나라 역시 공격 대상에 오를 수 있기 때문이다.