【투데이신문 박주환 기자】 병·의료원 증명서 발급처럼 위장한 북한 연계 해킹 공격이 포착됐다. 

보안 전문 기업 이스트시큐리티는 4일 병·의료원 증명서 발급처럼 위장한 북한 연계 해킹 공격이 국내에 등장했다며 각별한 주의와 대비가 요구된다고 밝혔다.

이스트시큐리티 시큐리티대응센터(이하 ESRC)의 분석에 따르면 이번 악성 파일은 윈도(Windows) 64비트 기반으로 개발됐으며 지난 2월 25일 생성됐다. 실제 공격이 진행된 시기는 3월이다. 

이번 공격은 ‘건강 검진 결과 인터넷 조회 및 발급 서비스’로 위장해 악성 파일을 유포하고 있다. 실제 국내 병원 및 의료기관 증명서 발급에 필요한 정상 플러그인 프로그램과 결합해 속이고 있는 것이 특징이다.

해당 파일 내부에는 각각 암호화된 2개의 리소스가 존재한다. 이중 하나는 정상적인 병원 증명서 발급 프로그램이다. 다른 프로그램은 백도어(Backdoor) 기능을 수행하는 악성 파일이다. 

해당 프로그램은 악성과 정상 두 개의 모듈을 동시에 설치하며 컴퓨터 화면에는 정상 화면만 보이게 된다. 설치 이후에는 병원 증명서 발급까지 진행이 가능하지만 동시에 사이버 보안 위협에 노출될 수 있다는 설명이다. 

ESRC는 해당 악성 파일을 발견한 이후 유사도 및 연관성 조사를 실시했다. 조사 결과 지난 2월 국내 공중파 방송국 기자 및 북한 전문 언론사 등에 ‘사내 금융업무 상세내역.zip’ 파일로 수행된 APT(지능형지속위협) 공격과 유사한 점들이 발견됐다. 

또 일본 외교안보 싱크탱크인 일본국제문제연구소의 ‘동북아시아 군사적 긴장 고조와 일본의 대응전략 연차 보고서’처럼 사칭해 공격했던 사건의 연장선으로도 확인됐다.

당시 발견된 위협 지표 중에는 북한 표기식 단어인 ‘현시’와 공격자가 사용한 계정, 명령 제어(C2) 서버 등의 고유한 흔적이 발견됐으며, 연결된 침해사고에서 ‘KGH’ 이니셜이 파악된 바 있다. 

이번 공격에 사용된 서버 역시 방송사 대상 공격 주소와 유사하고, 주요 함수 구조 또한 일치한 것으로 분석됐다. 

ESRC에 따르면 유사 위협 중 2012년경 북한 아이피(IP) 주소에서 해외 특정 서비스에 접근한 이력이 보고된 바 있다.

이에 따라 ESRC는 ‘KGH’ 키워드가 계정 또는 폴더 이름에 사용된 자료를 조사하고 있으며, 모든 가능성을 염두에 두고 위협 배후 조사를 진행 중이다.

이스트시큐리티 문종현 센터장은 “러시아 소행으로 알려진 데이터 파괴용 악성 파일이 우크라이나에서 다수 보고되고 있는 가운데, 국내도 북한 연계 사이버 위협이 꾸준히 발견되고 있다”라며 “특히 다가오는 대한민국 대통령 선거와 관련해 사회공학적 해킹 공격이 등장할 수 있다며 각별한 주의와 대비가 필요하다”라고 당부했다.