지난해 공공기관을 대상으로 한 국제 해킹조직의 사이버 공격 시도가 하루 평균 162만여건으로 2022년(119만건)보다 36% 증가했다. 특히 북한과 중국 해킹조직에 의한 공격이 전체의 90%에 달한 것으로 파악됐다. 국가정보원은 24일 경기 성남시 국가사이버안보협력센터에서 기자간담회를 갖고 “북한의 공격 건수가 80%로 가장 많았고 중국은 5%였다”면서 “피해의 심각도를 반영하면 북한이 68%, 중국이 21%로 중국의 비중이 크다”고 밝혔다. 국정원 분석 결과 북한 해킹조직은 ‘김정은 지시’에 따라 빠르게, 중국 해킹조직은 천천히 깊숙이 공격하는 특징을 보였다. 지난해 초 김정은 북한 국무위원장이 식량난 해결을 지시하자 해커들은 국내 농수산기관 3곳을 공격해 식량연구자료를 빼갔다. 지난해 8~9월 김 위원장의 해군력 강화 지시 이후엔 국내 조선업체 4곳을 해킹해 도면과 설계자료를, 10월 무인기 생산 강화를 지시하자 국내외 업체에서 무인기 엔진 자료를 각각 수집했다. 김 위원장의 관심과 지시에 따라 빠르게 목표물을 바꿔 움직인 것이다. 국정원은 또 북한이 2020년부터 지난해까지 4년간 한국을 포함해 최소 25개국의 방산 분야를 해킹했다고 밝혔다. 해킹 시도 분야는 항공(25%), 전차(17%), 위성(16%), 함정(11%) 순이었다. 특히 북한은 우방국인 러시아 방산업체를 여러 차례 해킹했다. 북한이 개발한 전차와 지대공 미사일은 해킹으로 빼낸 설계도면 등을 활용해 러시아산과 매우 유사한 것으로 국정원은 보고 있다. 중국은 천천히, 은밀하게 침투해 생존력을 높였다. 일부 해커는 한 국내업체의 서버를 해킹하고 공개 소프트웨어(SW)로 위장한 악성코드를 숨겨놨다가 수년에 걸쳐 여러 고객사를 해킹했다. 중국인으로 추정되는 해커가 국내 기관이 사용하는 위성통신 신호를 수집·분석한 뒤 정상 장비인 것처럼 위장해 지상의 위성망 관리시스템에 무단으로 접속하고 최초로 정부 행정망을 침투하려다 적발되기도 했다. 중국 언론홍보 업체들이 국내 언론사로 위장한 사이트 200여개를 열어 친중·반미 성향 콘텐츠를 올린 뒤 소셜미디어(SNS) 인플루언서를 통해 확산시킨 정황도 확인됐다. 국정원은 특히 ‘슈퍼 선거의 해’인 올해 북한이 선거 개입과 정부 불신 조장을 위한 가짜뉴스 유포나 선거시스템 해킹 공격 가능성이 크다고 전망했다. 백종욱 국정원 3차장은 “남북관계가 경색되고 대남 비난 강도가 높을 때 사이버 공격이 잇따라 발생했다”고 말했다. 국정원은 관계기관과 협력을 통해 선거철 ‘정부 흔들기’를 위한 공격에 대응하고 전문 연구소 설립 등을 통해 AI 활용 해킹 등에 대한 대응할 계획이다. 지난해 7~9월 투·개표 관리 시스템의 해킹 취약점이 다수 발견된 것과 관련, 전날 선거관리위원회의 합동 보안점검 후속 보안 조치의 적절성 여부 확인에 들어갔다. 또 북한 해킹그룹의 대법원 전산망 해킹 피해 범위와 공격 주체 등을 파악하기 위해 지난 22일부터 법원행정처와 현장 조사를 진행하고 있다. 백 차장은 “정부 전산망 장애 발생 시 해킹 가능성을 배제하지 않고 사고 초기부터 적극 관여해 대응할 것”이라고 강조했다.

‘새울 먹통’ 원인 라우터 오류 규명 않아“행정력이 그런 것까지…추가 규명 안해”국정원 “4개 전산망, 외부해킹은 아냐”내부 악의적 개입·외부 해킹 흔적 없어나라장터 지연 등 장비 오류·미숙 작업 탓“백업 복구계획 미흡·형식적 복구 훈련”노후 장비 교체 위해 재정 지원 있어야새달 대책 발표…“실행력 있는 계획 내놔야” ‘K-전자정부’의 위상에 먹칠을 한 지난달 정부 행정전산망 마비 사태의 원인으로 지목된 ‘L3 라우터 포트’(서로 다른 네트워크를 연결하는 장치) 장애 원인은 결국 미제로 남게 됐다. 잇단 주민등록시스템, 모바일 신분증, 지방재정시스템, 조달청 나라장터의 시스템 장애 원인은 외부 해킹은 아닌 것으로 조사됐다. 행정안전부와 국가정보원은 28일 정부서울청사에서 합동으로 개최한 ‘정부합동 주요 시스템 특별 점검’ 브리핑에서 이렇게 밝혔다. 서보람 행안부 디지털정부실장은 대국민 민원서비스 업무에 큰 차질을 빚게 했던 지난달 17일 지방행정전산망 ‘새올’과 온라인 민원서비스 ‘정부24’의 셧다운 원인인 L3 라우터 오류 발생과 관련, “라우터 포트가 왜 장애가 났는지에 대한 원인을 찾지 않고 있다”고 말했다. 이어 “개별 부품 장애 원인까지 찾는 것은 행정력이 그런 것까지 해야 하느냐는 문제가 있고 그걸 밝힐 수 있는 건 제조사 밖에 없는데 현재로선 추가로 밝히는 작업은 하고 있지 않다”고 덧붙였다. 사고 발생 42일이 지났지만 결국 원인 규명에서 한걸음도 나아가지 못한 셈이다. 주민등록시스템 등 지난달 4개 정부 전산시스템의 오류 원인은 외부 해킹 소행과는 무관한 것으로 결론지어졌다.백종욱 국정원 3차장은 “대부분의 해킹 공격은 흔적이 남기 때문에 국정원이 보유한 사이버위협 침해지표를 활용해 정밀분석했으나 4개 시스템 모두 내부의 악의적인 개입이나 외부로부터의 해킹 흔적은 없었다”고 설명했다. 다만 ‘나라장터’ 시스템은 전체 트래픽의 소량(0.5%)이긴 하나 해외 특정 인터넷프로토콜(IP)에서 서비스 거부 공격 시도가 있어서 해당 공격 IP에 대한 국제 공조를 통해 추적하고 있다고 전했다. 나라장터 지연은 동시 접속자 수 초과 탓에, 주민등록시스템은 용량 큰 콘텐츠의 동시 열람에 필요한 메모리 사용량 등을 고려하지 않은 개발기능의 오류였다. 모바일 신분증 시스템은 클라우드 플랫폼과 스토리지를 연결하는 시스템 환경설정의 미숙한 작업이 장애 원인이었고, 지방재정관리시스템은 유지보수 업체가 하드디스크의 불량을 인지하고도 점검장비를 시스템에 연결하면서 침입방지시스템이 작동되지 않아 일어났다.정부 전산시스템 점검 태스크포스(TF)에 참여한 류재철 충남대 교수는 주요 공공서비스 35개 대상 장애대응·복구체계 점검에서 “백업·복구계획이 미흡하거나 형식적인 복구훈련을 하는 기관이 있다”면서 “국가 사이버위기 관리 차원에서 다룰 수 있게 제도개선하고 노후장비 교체를 위해 적극 재정지원을 해야 한다”고 강조했다. 대기업 공공 소프트웨어(SW) 입찰 참여 허용 등 후속 대책은 발표되지 않았다. 행정전산망 범정부 혁신대책은 내년 1월말 발표된다. 황석진 동국대 정보보호대학원 교수는 “1월에는 노후 장비 교체 계획 등 좀 더 구체적이고 실행력 있는 계획이 발표돼야 한다”면서 “‘고장난 것을 빨리 찾지 못한 이유’ ‘교체를 못한 이유’ 등을 알아내 공백 없이 시스템이 운영되도록 체계를 갖춰야 한다”고 조언했다. 김명주 서울여대 정보보호학과 교수는 이날 정부 발표와 관련, “국민이 피부로 느끼느 것과는 상당히 괴리감이 있고 전체적으로 미흡하다”고 지적한 뒤 “나라장터는 서버 증설을 한다고 해결될 문제가 아니라 누더기처럼 덩치만 커지는 디지털이 한계에 부딪히지 않고 어떻게 개편할지에 대책이 1월에 총체적으로 나와야 한다”고 언급했다. 안문석 고려대 행정학과 명예교수는 2007년 도입해 15년 넘게 쓴 지방행정전산망 ‘새올’에 대해 “부분부분 땜질을 해 시스템은 누더기가 됐고, 잦은 인력 교체로 사람이 바뀌면 프로그램 수정도 어렵기 때문에 5년 주기로 새로운 첨단기술과 수요에 맞게 전면 교체하는 일종의 ‘재건축’을 해야 한다”고 주문했다.

국민의힘이 4일 북한의 사이버 위협에 대비한 사이버안보 기본법을 제정해야 한다며, 법 제정을 위한 더불어민주당의 초당적 협력을 촉구했다. 북한 해킹조직이 국내 방산업체·연구소·대학·제약사·금융사 등 수십 곳을 공격해 주요 기술 자료와 개인정보를 탈취한 사실이 밝혀진 데 따른 것이다. 유의동 정책위의장은 이날 국회에서 열린 원내대책회의에서 “현재 국회에서 잠자고 있는 사이버안보 기본법을 조속히 제정해 국가 사이버안보 대응체계를 구축해야 한다”며 “사태의 심각성과 중대성을 고려한다면, 민주당도 전향적인 자세로 초당적인 자세로 법안 제정에 나서주실 것을 간곡하게 요청드린다”고 발언했다. 이어 유 정책위의장은 대한민국의 사이버보안 의식이 허술하다는 점을 지적했다. 그는 “(북한 해킹조직이) 랜섬웨어를 유포해 서버를 망가트리고 시스템을 복구해 주는 대가로 비트코인을 받아 갔다. 더 충격적인 것은 해킹당한 업체 대부분이 피해를 입었다는 사실을 인지하지 못했다는 점”이라며 “심지어 기업 신뢰도 하락을 우려해 피해 신고를 하지 않은 곳도 있다. 우리 기업과 연구소, 대학의 사이버안보 인식이 얼마나 허술했는지 여실히 보여준다”고 언급했다. 이어 유 정책위의장은 대한민국이 북한의 지속적인 해킹 위협에 노출돼 있다고 지적했다. 그는 “정부 당국에 따르면 북한은 우리나라를 대상으로 올 상반기에 하루 평균 90만에서 100만 건의 사이버 공격을 시도했다고 한다”며 “북한의 먹잇감이 되어 정보를 탈취해 가도 빼앗겼다는 사실조차도 모르는 이런 현실을 그냥 두고만 볼 수 없다”고 말했다. 그러면서 유 정책위의장은 해외 사례를 언급해 사이버안보 컨트롤 타워의 필요성을 설명했다. 그는 “미국, 일본, 중국 등 주요 나라들은 사이버안보를 국가 차원에서 관리하고 있다”면서 “우리나라도 사이버안보 컨트롤 타워를 두고 체계적인 관리에 나서야 한다”고 밝혔다. 현재 국회에는 현 국가안보실장인 조태용 전 의원이 2020년 6월 발의한 사이버안보 기본법안과 민주당 소속 김병기 의원이 2021년 11월 발의한 국가 사이버보안법이 계류 중이다.

북한 해킹 조직이 국내 방산업체·연구소·제약업체 등의 서버에 침투해 레이저 대공무기를 비롯한 중요 기술 자료와 개인 정보를 탈취했다. 이후 시스템 복구 명목으로 피해 업체로부터 4억원이 넘는 가상자산(암호화폐)을 갈취했고 이 중 일부는 자금 세탁을 거쳐 북한으로 흘러간 정황도 포착됐다. 서울경찰청 첨단안보수사계는 미국 연방수사국(FBI)과 공조해 북한 정찰총국 내 해킹 조직인 ‘안다리엘’이 보안·정보기술(IT) 서비스 업계 국내 대기업 자회사와 첨단과학기술·식품·생물학 등을 다루는 국내 기술원·연구소, 대학교, 제약회사, 방산업체, 금융회사 등 수십여곳을 해킹한 사실을 확인했다고 4일 밝혔다. 특히 경찰에 따르면 안다리엘은 국내 서버 임대업체가 신원이 명확하지 않은 가입자에게도 서버를 임대해 주는 점을 악용해 이곳을 경유지 서버로 삼은 뒤 지난해 12월부터 올해 3월까지 평양 류경동에서 83차례 접속한 것으로 조사됐다. 류경동은 북한 최고층 건물인 류경호텔과 류경정주영체육관이 있는 도심 지역으로 국제통신국과 평양정보센터도 이곳에 자리잡고 있다. 안다리엘은 랜섬웨어를 감염시킨 뒤 국내 업체 3곳에서 시스템 복구 명목으로 암호화폐인 비트코인 4억 7000만원 상당을 받아 내기도 했다. 경찰은 빗썸, 바이낸스 등 국내외 가상자산 거래소 거래 내역을 압수해 분석한 결과 외국인 여성 A씨의 계좌를 거쳐 약 63만 위안(약 1억 1000만원)이 중국 K은행으로 보내졌고 이 돈이 북·중 접경지역에 위치한 지점에서 출금됐다며 자금이 북한으로 흘러 들어간 것으로 보인다고 설명했다. A씨는 경찰 진술에서 자금 세탁 연루 혐의를 부인했지만 경찰은 A씨를 피의자로 입건해 금융계좌·휴대전화를 압수수색하는 등 보완 수사를 이어 가고 있다.

북한 해킹조직이 국내 방산업체, 연구소, 제약업체 등의 컴퓨터 시스템에 침투해 바이러스를 퍼트린 이후 4억원이 넘는 비트코인을 가로챘다. 바이러스 감염 이후 이를 인질로 삼아 금전을 요구하는 랜섬웨어 공격으로 챙긴 비트코인 중 일부는 세탁을 거쳐 북한과 중국 접경지역의 한 은행에서 인출됐다. 서울경찰청 첨단안보수사계는 미국 연방수사국(FBI)과 공조해 북한 정찰총국 내 해킹조직인 ‘안다리엘’이 국내 방산업체, 연구소, 제약업체 등을 해킹해 레이저 대공무기와 같은 기술자료를 탈취한 정황을 포착했다고 4일 밝혔다. 경찰에 따르면 안디리엘은 신원이 불분명한 가입자에게도 서버를 임대하는 국내 업체를 이용해 랜섬웨어 공격을 벌였다. 해커가 사용한 구글 메일 계정을 수사한 결과, 국내 서버 임대업체를 경유지로 삼아 지난해 12월부터 지난 3월까지 평양 류경동에서 모두 83회나 접속한 것으로 파악됐다. 평양 류경동은 국제통신국과 평양 정보센터 등이 있는 지역이다. 안다리엘의 랜섬웨어 공격으로 피해를 본 업체들은 컴퓨터 시스템 복구의 대가로 4억 7000여만원 상당의 비트코인을 갈취당한 것으로 파악됐다. 경찰은 레이저 대공무기, 탐지기, 제작계획서와 같은 주요 기술자료를 포함해 서버 이용자 계정 정보 등 모두 1.2TB(테라바이트)에 달하는 정보가 탈취된 것을 확인했다. 업체들 대부분은 피해 사실을 모르고 있거나, 알고 있어도 신뢰도 하락 등을 우려해 피해 신고는 별도로 하지 않은 것으로 파악됐다.안다리엘이 갈취한 비트코인 중 1억 1000만원은 외국인 명의 계좌를 거쳐 북·중 접경지역에 있는 한 은행에서 출금된 것으로 조사됐다. 경찰은 계좌 명의자인 A씨를 피의자로 입건하고, A씨의 금융계좌, 휴대전화, 주거지 등에 대한 압수수색을 진행했다. A씨는 경찰 조사에서 “과거 홍콩 소재 환전업체 직원으로 근무했고, 편의상 계좌를 거래에 제공해 준 것일 뿐”이라며 범죄 연루 사실을 부인했다. 경찰은 국제 공조 등을 통해 추가 피해 사례와 유사한 해킹 시도가 있었는지에 대한 수사를 이어갈 방침이다.

정부는 지난 17일 정부 행정전산망 장애가 일어난 원인에 대해 트워크 장비인 라우터(서로 다른 네트워크를 연결해주는 장치) 불량 때문이라고 추정했다. 해킹 징후는 발견되지 않았다. 고기동 행안부 차관과 송상효 숭실대 교수 등 ‘지방행정전산서비스 개편 태스크포스(TF)’ 공동 팀장은 25일 정부서울청사에서 진행된 ‘지방행정전산서비스 장애 원인 및 향후 대책 브리핑’에서 이번 행정전산망 장애 원인을 이같이 밝혔다. TF는 이번 장애의 원인이 네트워크 영역에서 발생했을 확률이 높다고 분석했다. 행안부는 장애 후 네트워크 장비를 대상으로 성능을 점검하기 위해 구간을 나누어 반복적인 부하 테스트를 진행해 장애 및 접속 지연이 발생한 영역을 확인하는 방식으로 장애 유발 원인을 좁혀나갔다. 그 결과 네트워크 장비인 라우터에서 패킷(데이터의 전송단위)을 전송할 때 용량이 큰 패킷이 유실되는 현상이 관찰됐다. 특히 1500바이트 이상의 패킷은 약 90%가 유실됐다. 이 현상의 원인은 라우터 장비의 케이블을 연결하는 모듈에 있는 포트 중 일부가 이상이 있었기 때문인 것으로 전해졌다. 송 교수는 “패킷이 유실돼 통합검증서버가 라우터로부터 서비스 제공에 필요한 패킷을 정상적으로 수신할 수 없었다”며 “지연이 중첩돼 작업을 정상적으로 수행할 수 없는 상황에 이르게 된 것”이라고 설명했다. TF에 따르면 17일 첫 장애 후 정상 작동하지 않던 L4(네트워크 장비의 일종) 스위치를 고성능 장비로 교체했고, 교체 후에도 일부 기능에 지연 현상이 발견돼 광주센터와 대전센터를 연결하는 라우터를 상세 분석했다. 그 결과 포트 불량이 발견돼 다른 포트로 연결하자 지연 현상이 해소됐다. 다만 불량 외 다른 오류가 있을 가능성을 배제할 수 없어 서버에서 발생한 로그(컴퓨터 시스템에서 발생하는 활동을 기록한 파일)를 분석하고 다양한 네트워크 구간에서 장비의 이상을 검증하고 테스트하는 과정을 거쳤다. TF는 해킹에 대해서도 가능성을 열어놓고 외부에서의 공격, 내부에 심어놓은 스파이웨어 등 다양한 상황을 가정해 보안당국과 함께 확인했다. 현재까지는 해킹 징후가 보이지 않는다고 밝혔다.고 차관은 이번 행정전산서비스 장애에 대해 재차 사과하며 “이번 장애를 반면교사 삼아 다시는 이런 일이 재발하지 않도록 문제점을 하나하나 들여다보면서 근본적이고 실효성있는 보완 대책을 마련하고자 한다”며 종합대책을 설명했다. 행안부는 먼저 이번과 유사한 포트 불량이 있을 수 있는 오래된 장비들에 대해 전수 점검할 계획이다. 또 국민에게 전산장애 상황을 빨리 알려 드리지 못한 문제를 해결하기 위해 장애 발생 시의 처리 매뉴얼을 보완하고, 문제가 발생했을 때 신속한 복구조치가 가능한 체계도 마련할 예정이다. 아울러 핵심 디지털정부 서비스가 중단되는 상황에서도 행정서비스가 제공될 수 있도록 행정조치 방안을 마련하고 범정부 디지털정부 위기대응체계를 확립하는 등 중장기적인 제도 개선방안을 준비하기로 했다. 고 차관은 “다시는 유사한 문제로 국민이 불편을 겪지 않도록 어떠한 상황에서도 중단 없는 안정적인 디지털정부를 만들어 나가겠다”며 “세계적 수준의 디지털정부 명성에 걸맞은 편리하면서도 보다 안정성 높은 서비스를 제공할 수 있도록 최선을 다할 것”이라고 강조했다.

이른바 ‘김수키’로 불리는 북한 해킹조직이 외교·국방 분야 전문가뿐만 아니라 직장인이나 자영업자에게도 사칭 이메일을 보내 1000여명이 피해를 당한 것으로 확인됐다. 이들은 국민건강보험이나 국민연금공단 통지서, 국세청 국세 납부 안내서로 위장해 피싱 사이트로 유도한 뒤 가상자산(암호화폐) 계정까지 노린 것으로 드러났다. 경찰청 국가수사본부는 지난해 북한 해킹조직의 소행으로 파악된 ‘국회의원실·기자실 사칭 전자우편(이메일) 발송사건’을 추적·수사한 결과 올해는 일반인을 포함한 1468명이 이메일 계정을 탈취당했다고 21일 밝혔다. 이들은 전직 장관 1명을 포함해 외교·통일·국방·안보 분야의 전·현직 공무원 등 전문가 57명으로부터 업무 관련 정보를 빼내려 한 것으로 파악됐다. 회사원 587명 등 일반인 피해자 1411명을 상대로는 가상자산을 노리고 사칭 이메일을 보낸 것으로 조사됐다. 북한 해킹조직은 이렇게 탈취한 정보를 바탕으로 피해자 19명의 가상자산 거래소 계정에 접속했으나 추가 보안 절차를 넘지는 못했다. 경찰 관계자는 “금전적 피해는 발생하지 않았다”고 말했다. 또 IP(인터넷주소)를 숨기기 위해 해킹한 경유지 서버 147대에서 ‘가상자산 채굴 프로그램’을 몰래 가동하기도 했다. 북한 해킹조직은 경찰청, 국세청, 건강보험 등 정부 기관이나 기자, 연구소를 사칭해 안내문이나 질의서를 이메일로 보냈다. 이메일에 첨부된 파일을 열람하면 문서 파일이 열리면서 개인용컴퓨터 내부 정보를 유출할 수 있는 악성 프로그램이 설치·실행되는 방식이다. 대형 포털사이트를 모방한 가짜 홈페이지 등으로 접속을 유도해 정보를 탈취한 경우도 있었다. 경찰 관계자는 “추가 피해가 발생하지 않도록 사이트 주소가 정상적인 주소인지 확인하고, 2단계 인증이나 일회용 패스워드(OTP) 설정 등 보안 설정을 강화해달라”고 말했다.

북한 해킹조직이 올해 정부 기관·언론사 등으로 속인 이메일을 무차별적으로 보내 국방·외교 분야 전문가를 비롯해 일반인까지 총 1468명에게 피해를 준 것으로 나타났다. 21일 경찰청 국가수사본부는 한 결과, 올해는 일반인을 포함해 1468명이 이메일 계정을 탈취당하는 등의 피해를 보았다고 밝혔다. 앞서 수사본부는 지난해 북한 해킹조직의 소행으로 적발된 ‘국회의원실·기자 등 사칭 전자우편(이메일) 발송사건’을 계속 추적·수사해 왔고 해당 사실을 확인했다. 피해자 중 외교·통일·국방·안보 분야의 전현직 공무원 등 전문가는 57명이었으며 전직 장관도 포함된 것으로 확인됐다. 이 밖에도 회사원·자영업자·무직자 등 다양한 직군의 일반인 1411명도 피해를 봤다. 일명 ‘킴수키’로 불리는 북한 해킹조직은 경찰청·국세청·건강보험 등 정부 기관이나 기자, 연구소 등으로 속여 안내문이나 질의서 등 수신자가 관심을 가질 수 있는 내용으로 위장한 이메일을 발송하고 있다. 이메일에 첨부된 파일을 열람하면 개인용컴퓨터(PC) 내부의 정보를 유출할 수 있는 악성 프로그램이 설치·실행된다. 이메일에 포함된 인터넷주소를 누르도록 유인하는 사례도 확인됐다. 이 경우 피해자가 신뢰할 수 있는 기관이나 네이버·카카오 등 포털사이트를 모방한 가짜 홈페이지로 접속을 유도해 계정정보를 탈취했다. 이들은 사칭한 이메일 수신자의 소속기관과 똑같은 형태의 홈페이지를 제작해 접속을 유도하고 피해자별로 특화된 공격을 전개하는 등 더욱 교묘해진 수법을 보였다고 경찰은 설명했다. 지난해 고위 공무원이나 전문가 등에 국한됐던 공격 대상이 전방위로 확산하는 것은 북한 해킹조직이 암호화폐를 노리고 있기 때문으로 분석된다. 북한 해킹조직이 탈취한 피해자 정보를 바탕으로 암호화폐거래소 계정에 부정 접속해 절취를 시도한 사실도 확인됐다. 해킹으로 장악한 경유 서버 147대에서 ‘가상자산 채굴 프로그램’을 관리자 몰래 실행한 사실도 드러났다. 경찰은 해킹에 사용된 인터넷주소나 경유지 서버는 물론 악성코드 유형까지 기존 북한 해킹조직이 사용한 것과 유사하다는 점을 근거로 킴수키의 소행으로 판단했다. 경찰은 북한 해킹조직의 공격이 전방위적으로 확대되는 만큼 추가 피해가 발생하지 않도록 이메일과 암호화폐거래소 계정의 비밀번호를 주기적으로 변경할 것을 권고했다. 사칭 이메일에 포함된 피싱 사이트 링크가 정상 홈페이지와 외관이 같은 만큼 인터넷 주소가 정확한지 확인할 필요가 있다고 했다.

행정안전부는 지난 17일 공무원 행정전산망 ‘새올지방행정시스템’과 온라인 민원 사이트 ‘정부24’의 마비 사태가 종일 이어지자 확정일자처럼 접수와 함께 즉시 처리를 해야 하는 업무는 민원실에서 먼저 ‘수기’(手記)로 접수한 뒤 날짜를 소급해 처리하겠다는 임시방편안을 내놓았다. 2002년 11월 전자정부 출범으로 역사 속으로 사라진 수기가 2023년 세계 최고의 디지털플랫폼 정부 대한민국에 재등장한 것이다. 고기동 행안부 1차관은 19일 오후 정부서울청사에서 열린 브리핑에서 “새올지방행정시스템과 관련한 모든 정보 시스템의 세밀한 점검과 확인을 통해 인증 시스템의 일부인 네트워크 장비에 이상이 있는 것을 확인하고 18일 새벽에 교체해 안정화 작업을 했다”고 밝혔다. ‘네트워크 장비의 이상’이란 새올에 접속하는 행정전자서명인증서(GPKI) 시스템 일부 네트워크장비(L4스위치)의 이상을 뜻하는 것으로 알려졌다. 개인이 온라인 뱅킹을 하려면 ‘공동인증서’가 필요하듯 공무원도 새올에 접속하려면 GPKI로 인증해야 하는데, 인증서를 검증하는 시스템에 장애가 발생해 사태가 커졌다는 의미다. 전자정부추진위원장 출신인 안문석 고려대 행정학과 명예교수는 “일정한 시기가 되면 비행기의 부품을 갈아 주듯이 정기적으로 전산 시스템을 교체해야 하는데 예산당국에 가서 장비나 소프트웨어가 낡았다고 설득을 해야 한다”면서 “하인리히법칙처럼 큰 사고가 나기 전에 작은 사고가 나듯 2~3년 주기로 전자정부 사고가 발생했다”며 뒤늦은 시스템 교체를 지적했다.다만 통상 민원 행정 수요가 적은 주말이나 공휴일에 이뤄졌어야 할 업데이트 작업을 평일에 강행해 ‘리스크’를 최소화하지 않은 까닭은 의문이다. 행안부에 정통한 한 전문가는 “정보기술(IT) 쪽은 중소업체들이 많은데도 정부에서 단가를 낮게 책정하다 보니 주말 시스템 업데이트는 쉽지 않았을 것”이라고 말했다. 사태 이후 백업 서버가 작동하지 않아 복구가 제때 이뤄지지 않은 것도 심각한 문제다. 대국민 민원서비스 인프라의 이중화 작업(백업)은 필수다. 대국민 민원서비스 시스템과 연동된 시스템을 업데이트하기 전 다른 프로그램 등에 미칠 호환성, 영향 분석을 제대로 확인하는 체계적 업무 프로세스부터 갖춰야 한다고 전문가들은 지적한다. 임종인 고려대 정보보호대학원 교수는 “사고가 발생해도 신속히 복구되지 않고 위기관리 매뉴얼도 없다는 게 큰 문제”라면서 “해킹 같은 외부 공격도 아닌 이번 사건으로 위기관리 시스템이 제대로 안 되고 있다는 걸 보여 준 꼴”이라고 말했다. 무엇보다 중요한 것은 재발 방지다. 세계적 흐름인 ‘디지털 트랜스포메이션’에 맞춰 한국도 각기 다른 부처에서 따로 노는 기술(과학기술정보통신부)과 제도(행안부)를 한 곳으로 모아야 한다는 제언도 나온다. 안 명예교수는 “전자정부와 관련해 각 부처를 총괄할 ‘처’가 필요하다”면서 “첨단기술은 과기부가, 주무 부처 행안부는 제도만 운영하는 이원화된 구조를 갖고 있어 전자정부에 새로운 기술을 접목하기 어렵다. (총괄하는 처가) 인력과 예산, 조직, 전문가를 양성하고 아웃소싱한 민간업체가 제대로 프로그램을 만들고 있는지 전문성을 갖추고 감리하는 기능도 강화해야 한다”고 했다.

행안부 “정부24 등 서비스 정상화”‘공무원 공인인증서’ GPKI 장애사고 전날 GPKI시스템 업데이트구시스템 호환·충돌 여부 조사 중20일 민원 업무 폭주 대비 대책 마련전산개편TF로 종합대책 마련 착수尹 순방 중 정부합동TF 가동 지시 한총리 “불편 송구” 대국민 사과 해킹당했을 가능성은 희박한데 지난 17일 세계 최고를 자부하던 ‘디지털 플랫폼 정부’가 멈춰 섰다. 2002년 11월 전자정부가 출범한 이후 장시간 행정 전산망이 마비된 건 초유의 일이다. 주민등록등본이나 인감증명 한 통을 못 떼 국민들을 분통터지게 만든 지 이틀 만인 19일 오후 행정안전부는 지방행정전산서비스가 정상화됐다고 발표했다. 공공기관의 대국민 민원 서비스는 정상화됐지만 전 세계에 한국 정부의 불안한 국가정보시스템을 고스란히 보여준 ‘굴욕’의 시간이 됐다. 문제의 시스템 부품을 교체했지만 정상화 첫주 월요일인 20일에는 미룬 민원 업무가 폭주할 것으로 예상돼 전자정부의 능력이 다시 한번 시험대에 오를 예정이다. 행안부는 이날 정부서울청사에서 열린 브리핑에서 17일 전산망 마비가 지방행정정보통신망인 새올인증시스템에 연결된 네트워크의 장애라고 공식적으로 밝혔다. 행안부 관계자는 “해킹 흔적은 아직 발견되지 않았지만 고도의 해킹 가능성도 배제하지 않는다”고 전했다. 장애가 발생하기 전날 국가정보자원관리원은 주민센터 등 현장 공무원들이 민원 서류를 발급할 때 접속해야 하는 ‘새올’에 사용자 인증을 해 주는 행정전자서명 인증서(GPKI) 시스템을 업데이트했다. 다만 이 부분이 온라인민원서비스 ‘정부24’ 등 다른 시스템과 호환성 문제를 일으켜 충돌 장애를 일으켰는지 여부는 계속 조사하고 있다고 행안부는 전했다. 정부24는 18일 오전 9시부터 임시로 재개됐다. 윤석열 대통령의 미국 샌프란시스코 순방에 동행했다가 지난 18일 조기 귀국한 이상민 행안부 장관은 전날에 이어 이날 대전 국가정보자원관리원에서 ‘지방행정전산서비스 장애 대책본부’ 회의를 열고 정부24 서비스 가동 상황을 점검했다. 이 장관은 “조속한 서비스 안정화가 가장 큰 목표로 국민이 불편을 겪지 않도록 재개된 정부24 서비스에 문제가 없게 만전을 기해야 한다”고 말했다. 행안부는 접속 지연에 따른 민원에 대해 납부 기한 연장 등 편의를 제공하고 급한 민원은 수기로 우선 접수해 소급 처리했다고 전했다.윤 대통령은 전날 순방 중에 정부 합동 태스크포스(TF) 즉각 가동을 지시했다. 한덕수 국무총리는 18일 관계부처 회의를 주재한 뒤 “정부 행정전산망 장애로 공공기관의 대민 서비스가 중단돼 많은 국민께서 불편·혼란을 겪으신 데 대해서 송구하다”며 대국민 사과를 했다. 한 총리는 이어 국가정보자원관리원을 찾아 “재난에 버금가는 초유의 사태라는 인식을 갖고 상황을 엄중히 생각해 달라”고 강조했다. 고기동 지방행정전산서비스 장애 대책본부장(행안부 차관)은 이날 브리핑에서 “재발 방지를 위해 근본적이고 실효성 있는 보완대책을 마련하고 민간전문가, 정부·지자체·관계기관이 참여하는 ‘지방행정전산서비스 개편TF’를 구성해 종합대책을 세우겠다”며 거듭 사과했다. 민원이 몰릴 것으로 예상되는 20일에는 ‘지방행정전산서비스 장애 대응 상황실’을 운영해 모니터링하고 이상 징후시 즉각 조치하겠다고 덧붙였다. 한편 더불어민주당 강선우 대변인은 올 들어 발생한 법원 전산망과 4세대 교육행정정보시스템(NEIS)의 오류를 나열한 뒤 “이 정도면 ‘습관성 행정망 먹통’”이라면서 “윤 대통령이 국민께 직접 사과해야 한다”고 촉구했다.“15년 넘은 시스템 전면 교체해야” 전자정부추진위원장 출신인 안문석 고려대 행정학과 명예교수는 “일정한 시기가 되면 비행기의 부품을 갈아주듯이 정기적으로 전산시스템을 교체해줘야 하는데 예산당국에 가서 장비나 소프트웨어가 낡았다고 설득을 해야 하는 상황”이라면서 “하인리히 법칙처럼 큰 사고 나기 전에 작은 사고가 나듯 2~3년 주기로 전자정부 사고가 발생했다. 아직도 서버를 증설, 개편하지 않은 것은 제도적으로 잘못된 것”이라며 신속한 전면 시스템 교체를 강조했다. 2007년 전국 시군구에 보급된 현 행정전산시스템은 15년이 넘은 모델로 노후화로 인해 그동안 수차례 전산 오류 장애를 빚어와 전문가들로부터 교체의 필요성이 지속적으로 제기돼왔다. 전문가들은 대국민 민원서비스 시스템와 연동된 시스템을 업데이트하기 전 다른 프로그램 등에 미칠 호환성, 영향 분석을 제대로 확인하는 체계적인 업무 프로세스부터 갖춰야 한다고 입을 모았다. 임종인 고려대 정보보호대학원장은 “사고가 발생해도 신속히 복구되지 않고, 위기관리 매뉴얼도 없다는 게 큰 문제”라면서 “해킹 같은 외부 공격도 아닌 이번 사건으로 위기관리시스템 제대로 안 된다고 보여준 꼴”이라고 지적했다. 안 명예교수는 “전자정부와 관련해 각 부처를 총괄할 ‘처’가 필요하다”면서 “첨단기술은 과기부가, 주무 부처 행안부는 제도만 운영하는 이원화된 구조를 갖고 있어 전자정부에 새로운 기술을 접목하기 어렵다. (총괄하는 처가) 인력과 예산, 조직, 전문가를 양성하고 아웃소싱한 민간업체가 제대로 프로그램을 만들고 있는지 전문성을 갖추고 감리하는 기능도 강화해야 한다”고 말했다.

국가 행정 전산망 먹통 사태 사흘째인 19일 정부가 네트워크 장비를 문제 원인으로 지목하고 장비 교체 후 서비스가 정상 재개됐다고 밝혔다. 지방행정 전산서비스 장애 대책본부에 따르면 먹통 사태가 발생한 온라인 민원서비스인 ‘정부24’는 이날 서비스 임시 재개 이후 현재까지 주민등록 발급 등 24만여건의 민원을 정상 처리하는 등 원활하게 작동 중이다. 장애가 발생한 후 해당 시스템 서버를 모두 점검 분석한 결과 인증시스템 일부인 네트워크 장비 ‘L4 스위치’에 이상이 있었고 해당 장비를 교체한 뒤 서비스가 정상 재개됐다는 설명이다. 지난 16일 대전 국가정보자원관리원에서는 행정전산망 네트워크 장비의 프로그램을 업데이트하는 과정이 진행됐다. 이후 17일 오전 전산망 사용자 인증과정에 문제가 생기며 접속이 이뤄지지 않았고, 공무원들이 전산망을 사용하지 못하면서 민원서류 발급이 전면 중단됐다. 해킹으로 인해 전산망 장애가 생긴 것은 아닌지도 검토했지만 현재까지 해킹 정황이나 흔적은 나오지 않았다. 이상민 행정안전부 장관은 18일 밤 대책회의를 주재하고 월요일인 20일에 일상이 시작되는 만큼 국민이 아무런 불편이 없도록 행전전상망의 정상화, 안정화가 이뤄져야 한다는 뜻을 피력한 것으로 전해졌다. 이 장관은 이날 오전 정보관리원을 찾아 복구 상황을 점검했고 민간 전문가와 공무원들에게 20일부터는 국민에게 불편이 없도록 재개된 서비스를 안정화해달라고 당부했다. 이 오후 3시쯤부터 서울시 종로구 청운효자동 주민센터를 찾아 새올 행정시스템, 주민등록시스템 등의 정상 작동 여부를 직접 확인한다. 각 지자체 역시 민원 공무원이 직접 서비스 작동 상황을 확인하는 자체 점검에 나섰다. 행안부 관계자는 “내일(20일)을 디데이로 생각하고서 오늘 전산망이 잘 돌아가는지 계속 점검하고자 한다”고 말했다.

팔레스타인 무장조직 하마스는 압도적 군사 우위에 있는 이스라엘의 허를 찔렀다. 근래 보기 힘든 기습전이다. 정보·방공망이 동시에 뚫렸다. 이스라엘의 해외 첩보와 공작을 총괄하는 모사드는 2년간 기습을 준비한 하마스 동태를 알아내지 못했다. 왜 세계 최강의 벽에 구멍이 생겼을까. 국가정보원과 오버랩된다. 모사드가 뚫린 데는 여러 이유가 있다. 그중에서도 테킨트(기술 정보)에 치중해 휴민트(인적 정보)에 소홀했다는 분석이 설득력 있다. 2021년 모사드 총책임자에 취임한 다비드 바르니아는 1996년 모사드에 들어가 공작원 양성 및 공작 임무를 수행하는 초메트(Tzomet)에서 잔뼈가 굵었다. 이후 전자기기 도청 부문인 케셰트(Keshet)에서 간부가 된다. 현대전의 총아인 사이버 공격이나 해킹, 빅데이터·인공지능(AI)으로 하마스를 감시하고 이란의 핵개발을 견제하는 역할을 수행하며 모사드 총책임자 자리에 올랐다. 사이버·정보기술(IT)은 정보기관이라면 다 하는 일이다. 하지만 휴민트를 소홀히 함으로써 디지털 기술로는 잡아낼 수 없는 깊숙한 아날로그 정보 습득에 실패했다. 그 실패가 1500명의 사망자를 낳고 74년 모사드 역사에 치욕을 얹었다. 힘들고 위험한 스파이 활동을 하려는 사람이 줄고, 하마스에서 인적 네트워크를 쌓는 데 어려움을 겪는다는 사정은 국민을 희생시킨 대참사 앞에선 핑계에 불과하다. 문재인 정부는 간첩 잡고 북한의 동태를 수집하던 국가정보원을 북한과 대화하는 한낱 행정기관으로 전락시켰다. 정부 출범 초기 국정원 적폐를 청산한다며 국정원 메인 서버를 개혁발전위원회 민간인들에게 공개하는 우도 범했다. 대부분 좌편향 인사들로 구성된 개혁위에는 친북 성향의 인사들도 있었다. 메인 서버의 공개는 재앙이 가득한 판도라의 상자를 연 것과 같다. 이 바람에 휴민트를 통한 해외 첩보가 노출됐다. 국내 여러 기관 및 개인들과의 정보 협력이 드러났다. 개인·기관이 민감한 첩보 공유를 꺼렸다. 더 큰 문제는 해외 정보기관과의 교류였다. 국정원은 외국 정보기관들과 정례적으로 정보협력회의를 가진다. 국정원 서버가 열리면서 외국 기관들이 비밀을 못 지켜 주는 한국과의 ‘주고받기’에 손을 저었다. 국정원 메인 서버를 연 문재인 정부는 눈엣가시이던 이명박 정부 대북 공작의 최고 베테랑을 구속까지 했다. 심지어는 북한 공작 경험이 단 하루도 없는 사람을 대북공작국장에 앉혔다. 공작원에게 가던 돈마저 끊었다. 어렵게 구축한 휴민트는 하나둘씩 무너졌다. 문 정부 국정원에서 잘나가던 어떤 고위 간부는 대북 공작을 보고하면 공작원 명단을 요구했다. 간부가 알아서도 안 되고 알 필요도 없는 게 공작원 이름이다. 국정원 동료들은 젊은 시절 주체사상을 공부한 이 간부가 북한에 명단을 넘기려는 것 아닌가 의심을 했다. 이쯤 되면 하마스에 당한 이스라엘 꼴이 나도 이상하지 않다. 오죽하면 국정원에 몸을 담았던 전직 간부들이 하마스 기습 사태가 남의 일이 아니라고 입을 모았을까. 2021년 베냐민 네타냐후 총리는 모사드 최대의 임무를 “이란이 핵무기를 못 가지도록 하는 것”이라고 강조했다. 반면 문재인 정부는 남북 정상회담에 이어 미국을 꾀어 트럼프·김정은 회담을 만들었다. 5년간 김정은은 핵을 고도화했고, 화성19형까지 만들었다. 작년부터 김정은은 우리에게 전술핵 공격을 위협 중이다. 9·19 군사합의로 대북 정찰에 제약까지 받는 우리로선 지금이 가장 취약하다. 우크라이나 전쟁에 중동 분쟁까지 미국이 한반도까지 신경쓸 여력이 없다. 북한이 기습 도발하기 딱 좋은 시기다. 대공수사까지 넘겨 주는 국정원을 믿어도 좋은가. 내부에 적은 없는지. 걱정이 한두 가지가 아니다. 국정원을 총점검할 때다.

10대 해커가 유출한 경기도교육청 주관 전국연합 학력평가 성적 자료를 텔레그램 채팅방을 통해 유포한 20대에 대해 검찰이 징역 3년을 구형했다. 20일 수원지법 형사13단독 김재학 판사 심리로 진행된 텔레그램 채널 ‘핑프방’ 운영자 A씨의 정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반(정보통신망 침해) 혐의 결심 공판에서 검찰은 이같이 구형했다. A씨의 변호인은 최후 변론에서 “피고인이 이 사건을 직접 해킹한 것은 아니다”라며 “유포한 자료도 2학년 성적에만 한정돼 있고 영리적 목적도 없었다”고 주장했다. 피고인은 이날 최후 진술에서 “모든 피해자분께 죄송하다”며 “제가 몸담은 이 사회를 위해 노력하고 봉사하는 삶을 살도록 하겠다”고 말했다. A씨는 올해 2월 경기도교육청 전국연합 학력평가 시스템 서버에 침입한 10대 해커로부터 지난해 11월 고2 27만명의 성적표 파일을 전달받아 자신이 운영 중인 텔레그램 방에 게시해 유포한 혐의로 기소됐다. 핑프방은 수능 및 고등학교 내신과 관련된 인터넷 강의와 시험지 등 수험자료를 공유하는 텔레그램 채널로 알려진 곳이다. A씨는 해당 자료들을 친구와 지인 등 15명에게 개별 전송한 혐의도 있다. 선고는 내달 24일이다.

중국에서 활동하는 해커 집단으로 의심되는 조직이 미주 대륙 국가의 외교부를 공격했다는 연구 결과가 나왔다. 미국 반도체 기업 브로드컴이 운영하는 보안 소프트웨어 업체 시만텍은 21일(현지시간) 보고서를 통해 “‘플리’라는 이름의 해커 집단이 지난해 말부터 올해 초까지 일부 국가의 정부 부처 기관을 공격했다”며 “‘APT15’, ‘니켈’로도 알려진 이 조직은 미주 대륙의 외교부를 집중 공격했다”고 밝혔다. 구체적인 국가명은 거론하지 않았다. 플리는 2004년부터 세상에 알려졌으며, 최근에는 양질의 정보 수집을 위해 각국 정부 조직과 외교 기관을 공격하고 있다. 중남미 지역에서 제품을 판매하는 기업도 이들의 표적이 됐다고 시만텍은 덧붙였다. 마이크로소프트(MS)는 이 조직을 두고 “중국에 기반을 둔 해커 집단”이라고 분석했다. 구글 클라우드의 사이버 보안 기업인 맨디언트도 “중국과 관련 있을 가능성이 높다”고 설명했다고 블룸버그통신이 전했다. 특히 플리는 보안 시스템을 우회해서 컴퓨터 시스템에 접근하는 이른바 ‘백도어’를 활용해 공격에 나섰다. 백도어는 정식 인증을 거치지 않고도 PC나 서버 시스템에 접근할 수 있도록 돕는 프로그램이다. 미국 정부가 중국 통신장비 업체 화웨이를 제재한 것도 ‘중국 공산당의 요구에 따라 자사 제품에 비밀리에 백도어를 설치했다’는 이유였다. 이에 대해 시만텍은 “플리가 백도어를 사용한 것은 이 조직이 사이버 공격을 위해 새로운 도구를 적극적으로 개발하고 있음을 잘 보여 준다”고 설명했다.

중국에서 활동하는 해커 집단으로 의심되는 조직이 미주 대륙 국가의 외교부를 공격했다는 연구 결과가 나왔다. 미국 반도체 기업 브로드컴이 운영하는 보안 소프트웨어 업체 시만텍은 21일(현지시간) 보고서를 통해 “‘플리’라는 이름의 해커 집단이 지난해 말부터 올해 초까지 일부 국가의 정부 부처 기관을 공격했다”며 “‘APT15’, ‘니켈’로도 알려진 이 조직은 미주 대륙의 외교부를 집중 공격했다”고 밝혔다. 구체적인 국가명은 거론하지 않았다. 플리는 2004년부터 세상에 알려졌으며, 최근에는 양질의 정보 수집을 위해 각국 정부 조직과 외교 기관을 공격하고 있다. 중남미 지역에서 제품을 판매하는 기업도 이들의 표적이 됐다고 시만텍은 덧붙였다. 마이크로소프트(MS)는 이 조직을 두고 “중국에 기반을 둔 해커 집단”이라고 분석했다. 구글 클라우드의 사이버 보안 기업인 맨디언트도 “중국과 관련있을 가능성이 높다”고 설명했다고 블룸버그통신이 전했다. 특히 플리는 보안 시스템을 우회해서 컴퓨터 시스템에 접근하는 이른바 ‘백도어’를 활용해 공격에 나섰다. 백도어는 정식 인증을 거치지 않고도 PC나 서버 시스템에 접근할 수 있도록 돕는 프로그램이다. 미국 정부가 중국 통신장비 업체 화웨이를 제재한 것도 ‘중국 공산당의 요구에 따라 자사 제품에 비밀리에 백도어를 설치했다’는 이유였다. 이에 대해 시만텍은 “플리가 백도어를 사용한 것은 이 조직이 사이버 공격을 위해 새로운 도구를 적극적으로 개발하고 있음을 잘 보여준다”고 설명했다.

북한이 포털사이트 네이버를 정교하게 복제한 피싱사이트를 개설해 국민을 대상으로 해킹을 시도한 정황을 포착했다고 국가정보원이 14일 밝혔다. 국정원에 따르면 북한은 도메인 주소 ‘www.naverportal.com’에서 네이버 메인화면에 있는 실시간 뉴스·광고 배너와 메뉴 탭을 그대로 따라 한 사이트를 제작해 개인정보 탈취를 시도했다. 증권이나 부동산, 뉴스 등 자주 이용하는 세부 메뉴까지 동일하게 복제했다. 국정원은 “화면에 있는 외관만으로는 실제 사이트와 피싱사이트를 구분하기 어렵다”며 “단순히 네이버 로그인 페이지만 복제해 아이디(ID)와 비밀번호를 탈취하던 기존 방식에서 더 나아가 개인정보 탈취 가능성을 높이려 공격 수법을 진화시킨 것”이라고 밝혔다. 국정원은 이 피싱사이트 관련 정보를 국가·공공기관, 한국인터넷진흥원(KISA) 등에 공유했으며 현재 피싱사이트에 대한 접속 차단 조치를 취했다. 국정원은 “서버가 해외에 있어 해외기관과 정보 공유로 해킹조직 활동을 추적하고 있다”며 “피해 차단을 위해 다각적으로 대응할 계획”이라고 말했다. 국정원은 특히 “포털사이트를 이용할 땐 주소를 직접 입력해 접속하거나 즐겨찾기 기능을 사용하는 것이 안전하다”며 이용자들의 주의를 당부했다. 한편 방미 중인 김건 외교부 한반도평화교섭본부장은 13일(현지시간) 브라이언 넬슨 미 재무부 테러·금융정보차관과 면담하고 북한의 불법적 사이버 활동 대응을 위한 양국 협력을 강화하기로 했다고 밝혔다. 넬슨 차관은 미 독자제재 프로그램을 운영하는 재무부 해외자산통제국(OFAC)을 관장하고 있다. 김 본부장과 넬슨 차관은 북한이 심각한 경제난을 겪으면서도 핵·미사일 개발을 지속할 수 있는 것은 가상자산 탈취와 정보기술(IT) 분야 외화벌이 활동 때문이라는 데 인식을 함께했다. 또 한미가 지난 4월과 5월 북한의 불법 사이버 활동에 관여한 개인과 단체를 독자제재 대상으로 지정하면서 긴밀히 공조한 것을 평가하고, 협력 외연을 국제사회·민간 등으로 확대하기로 의견을 모았다고 외교부는 전했다. 김 본부장은 이날 구글과 구글 산하 사이버 보안업체 맨디언트 관계자들과 간담회도 열었다. 김 본부장은 “북한의 전방위적 사이버 공격은 개인과 기업의 재산상 피해를 야기할 뿐 아니라 글로벌 IT 생태계 전반에도 심각한 위협”이라고 강조했다. 그는 맨디언트가 지난 4월 북한 해킹그룹 ‘김수키’의 주요 공격 대상 등을 분석한 보고서를 낸 것을 높이 평가하고, 앞으로도 “긴밀히 협력하자”고 말했다.

북한이 포털사이트 네이버를 정교하게 복제한 피싱사이트를 개설해 국민들을 대상으로 해킹을 시도한 정황을 포착했다고 국가정보원이 14일 밝혔다. 국정원에 따르면 북한은 도메인 주소 ‘www.naverportal.com’에서 네이버 메인화면에 있는 실시간 뉴스·광고 배너와 메뉴 탭을 그대로 따라 한 사이트를 제작해 개인정보 탈취를 시도했다. 증권이나 부동산, 뉴스 등 자주 이용하는 세부 메뉴까지 동일하게 복제했다. 국정원은 “화면에 있는 외관만으로는 실제 사이트와 피싱사이트를 구분하기 어렵다”면서 “단순히 네이버 로그인 페이지만 복제해 아이디(ID)와 비밀번호를 탈취하던 기존 방식에서 더 나아가 개인정보 탈취 가능성을 높이려 공격 수법을 진화시킨 것”이라고 밝혔다. 국정원은 이 피싱사이트 관련 정보를 국가·공공기관, 한국인터넷진흥원(KISA) 등에 공유했으며, 현재 피싱 사이트에 대한 접속 차단 조치를 취했다. 국정원은 “서버가 해외에 있어 해외기관과 정보공유로 해킹조직 활동을 추적하고 있다”면서 “피해 차단을 위해 다각적으로 대응할 계획”이라고 말했다. 아울러 “포털사이트를 이용할 땐 주소를 직접 입력해 접속하거나 즐겨찾기 기능을 사용하는 것이 안전하다”며 이용자들의 주의도 당부했다. 외교부는 김건 외교부 한반도평화교섭본부장이 미국 워싱턴DC를 방문해 브라이언 넬슨 재무부 테러·금융정보 차관과 면담하고 북한의 불법적인 사이버 활동 대응을 위한 양국 협력을 강화하기로 했다고 밝혔다. 넬슨 차관은 미국의 독자제재 프로그램을 운영하는 재무부 해외자산통제국(OFAC)을 관장하고 있다. 김 본부장과 넬슨 차관은 북한이 심각한 경제난을 겪으면서도 핵·미사일 개발을 지속할 수 있는 것은 가상자산 탈취와 정보기술(IT) 분야 외화벌이 활동 때문이라는 데 인식을 함께했다. 또한 한미가 지난 4월과 5월 북한의 불법 사이버 활동에 관여한 개인과 단체를 독자 제재 대상으로 지정하면서 긴밀히 공조한 것을 평가하고, 협력의 외연을 국제사회·민간 등으로 확대하기로 의견을 모았다고 외교부는 전했다. 김 본부장은 이날 구글과 구글 산하 사이버 보안업체 맨디언트와 간담회도 열었다. 김 본부장은 북한의 전방위적 사이버 공격은 개인과 기업의 재산상 피해를 야기할 뿐 아니라 글로벌 IT 생태계 전반에도 심각한 위협이라고 강조했다. 그는 맨디언트가 지난 4월 북한 해킹그룹 ‘김수키’의 주요 공격 대상 등을 분석한 보고서를 낸 것을 높이 평가하고 앞으로도 긴밀히 협력하자고 말했다.

북한이 포털사이트 ‘네이버’를 복제한 피싱 사이트를 만들어 해킹을 시도하고 있는 사실이 확인돼 국정원이 포털 이용자들에게 주의를 당부했다. 14일 국가정보원은 북한이 네이버를 실시간으로 복제한 피싱 사이트로 해킹을 시도하고 있다고 밝혔다. 북한은 도메인 주소 ‘www.naverportal.com’에서 네이버 메인화면에 있는 실시간 뉴스·광고 배너와 메뉴 탭을 그대로 베껴 홈페이지를 만든 것으로 확인됐다. 국정원은 사이트 외관만으로는 북한의 가짜 사이트를 구분하기 어렵다면서 북한이 개인정보 탈취 가능성을 높이기 위해 공격 수법을 다변화한 것으로 파악했다. 과거 북한은 네이버 로그인 페이지를 복제하는 방식으로 국내 이용자들의 아이디·비밀번호 등을 탈취한 이력이 있다. 국정원은 관련 사실을 국가기관, 공공기관, 한국인터넷진흥원(KISA) 등에 공유했으며, 이들 기관은 현재 피싱 사이트에 대한 접속 차단 조치를 진행하고 있는 것으로 알려졌다. 국정원 측은 해당 복제 피싱 사이트의 서버가 해외에 있어 해외기관과 정보공유로 해킹조직 활동을 추적하고 있다면서 피해 차단을 위해 다각적으로 대응할 계획이라고 밝혔다. 아울러 포털사이트를 이용할 땐 주소를 직접 입력해 접속하거나 즐겨찾기 기능을 사용하는 것이 안전하다고 당부했다.

지난해 국내 외교·국방·안보 분야 전문가에게 유포된 악성 ‘피싱 메일’이 북한 해킹조직인 ‘김수키’의 소행인 것으로 확인됐다. 이들이 보낸 메일에 속아 피싱 사이트에 접속해 계정 정보를 빼앗긴 피해자는 전직 장차관급 3명을 포함해 모두 9명이다. 해킹조직은 피해자 메일함을 2~4개월간 들여다보면서 첨부 문서와 주소록 같은 정보를 빼내 간 것으로 조사됐다. 경찰청 국가수사본부는 지난해 4∼8월 외교·안보 전문가 150명에게 대량 유포된 악성 전자우편 발송 사건 수사 결과를 7일 발표했다. 경찰은 피싱 메일 5800여개 분석으로 공격 근원지의 인터넷 프로토콜(IP) 주소, 경유지 구축 방식을 확인한 뒤 김수키를 지목했다. ‘봉사기’(서버), ‘랠’(내일), ‘적중한 분’(적합한 분) 등 북한식 어휘나 문구를 사용한 점도 북한 해킹조직의 소행으로 판단한 근거다. 2014년 한국수력원자력 해킹 사건으로 명성을 얻은 김수키는 라자루스, 블루노로프, 안다리엘 등과 함께 북한 정찰총국 내 해킹조직 중 하나다. 우리 정부는 지난 2일 김수키를 독자 대북제재 명단에 올렸다. 이들은 국내 36개, 해외 102개 등 모두 138개 서버를 해킹으로 장악한 뒤 IP 주소를 세탁해 피싱 메일을 발송한 것으로 조사됐다. 서버를 장악한 이후 이들은 교수, 연구원, 기자 등을 사칭해 책자 발간이나 논문 관련 의견, 인터뷰 등을 요청하는 메일을 보냈다. 경찰청 관계자는 “지난해 새 정부 출범을 전후해 피해자들의 지인이나 안보 분야 오피니언 리더를 사칭하는 방법으로 접근했다”고 설명했다. 이들은 피해자가 답장을 보내면 본인 인증이 필요한 대용량 문서 파일을 첨부해 메일을 다시 발송했다. 피해자가 본인 인증을 위해 피싱 사이트에 접속하면 계정 정보가 이들에게 자동으로 넘어가는 방식이었다. 정보를 빼낸 뒤에도 이들은 ‘감사하다’는 내용의 답장을 보내 의심을 차단했다. 경찰은 전직 장차관급 3명, 현직 공무원 1명, 학계와 전문가 4명, 기자 1명 등 모두 9명이 피해를 입은 것으로 파악했다. 해킹조직은 메일 송수신 내역을 2∼4개월간 실시간 모니터링하면서 첨부문서와 주소록 등 정보를 탈취했다. 다만 경찰은 “해킹조직이 빼내 간 정보 중에 기밀자료는 없는 것으로 파악했다”고 밝혔다. 아울러 경찰은 이들이 사용한 국내외 서버에서 가상자산(암호화폐) 지갑 주소 2개가 발견된 것과 관련해 금전 탈취 시도가 있었다고 보고 수사를 이어 가고 있다.

지난해 국내 외교·국방·안보 분야 전문가에게 유포된 악성 ‘피싱 메일’이 북한 해킹조직인 ‘김수키’의 소행으로 확인됐다. 경찰 수사 결과, 이들이 보낸 메일에 속아 피싱 사이트에 접속해 계정 정보를 빼앗긴 피해자는 전직 장·차관급 3명, 현직 공무원 1명, 학계와 전문가 4명, 기자 1명 등 모두 9명에 달했다. 경찰청 국가수사본부는 지난해 4∼8월 외교·안보 전문가 150명에게 대량 유포된 악성 전자우편 발송 사건 수사 결과를 7일 발표했다. 경찰은 공격 근원지 IP 주소, 경유지 구축 방식, ‘봉사기’(서버)나 ‘랠’(내일), ‘적중한 분’(적합한 분) 등 북한식 어휘나 문구를 사용한 점을 근거로 이번 사건을 북한 해킹조직의 소행으로 판단했다. 김수키는 라자루스, 블루노로프, 안다리엘 등과 함께 북한 정찰총국 내 있는 여러 개의 해킹조직 중 하나다. 이들은 국내 36개, 해외 102개 등 모두 138개 서버를 해킹으로 장악한 뒤 IP주소를 세탁해 피싱 메일을 발송한 것으로 조사됐다. 서버를 장악한 이후 이들은 교수, 연구원, 언론사 기자 등을 사칭해 책자 발간이나 논문 관련 의견, 인터뷰 등을 요청하는 메일을 보냈다. 경찰청 관계자는 “지난해 새 정부 출범을 전후해 피해자들의 지인이나 안보 분야 오피니언 리더를 사칭하는 방법으로 접근했다”고 설명했다. 이들은 피해자가 답장을 보내면 본인 인증이 필요한 대용량 문서 파일을 첨부해 메일을 다시 발송했다. 피해자가 본인 인증을 위해 피싱 사이트에 접속하면 계정정보가 이들에게 자동으로 넘어가는 방식이었다. 정보를 빼낸 뒤에도 이들은 ‘감사하다’는 내용의 답장을 보내 의심을 차단했다. 실제로 경찰이 연락하기 전까지 피해를 본 사실을 모르는 경우가 대다수였다.이들은 전직 고위 공무원 등 피해자들의 메일 송수신 내역을 2∼4개월간 실시간 모니터링하면서 첨부문서와 주소록 등을 빼내 간 것으로 조사됐다. 다만 경찰은 “탈취된 정보 중에 기밀자료는 없는 것으로 확인됐다”고 밝혔다. 아울러 경찰은 이들이 사용한 국내외 서버에서 가상자산(암호화폐) 지갑 주소 2개가 발견된 것과 관련해 금전 탈취 시도도 있었다고 보고 수사를 이어가고 있다. 암호화폐 지갑에선 200만원 상당의 거래가 이뤄진 것으로 알려졌다.