북한 해킹조직인 ‘김수키’(Kimsuky)가 한미연합연습을 노리고 사이버 공격을 시도한 정황이 확인됐다. 경기남부경찰청 안보수사과는 한미연합연습인 ‘프리덤 실드(자유의 방패·FS)’ 전투모의실에 파견된 국내 워게임(War Game) 운용업체 A사 직원들을 대상으로 지난 2월부터 3월까지 수차례 발송된 악성 전자우편 사건을 수사한 결과 김수키의 소행으로 확인됐다고 20일 밝혔다. 김수키는 지난해 4월부터 A사를 해킹하기 위해 악성코드가 담긴 전자우편 공격을 지속한 끝에 지난 1월 A사 소속 행정 직원의 전자우편 계정을 탈취하고,컴퓨터에 악성코드를 심는 데에 성공했다. 김수키는 이후 원격 접속을 통해 A사 직원들의 신상정보를 가로챈 것으로 드러났다. 김수키는 탈취한 자료를 바탕으로 지난 2월 연말정산 시기에 맞춰 원천징수 영수증으로 위장한 전자우편을 프리덤 실드 전투모의실에 파견된 A사 직원들에게 보냈다. 이를 받은 A사 직원들은 전자우편에 첨부돼 있던 파일을 실행하려 했으나, 전투모의실이 위치한 주한미군 부대에서는 미 국방 전산망의 통제를 받기 때문에 보안시스템에 의해 해당 파일이 열리지 않았다고 한다. 수사 결과 군 관련 정보가 김수키 측에 흘러 들어간 정황은 나타나지 않았다. 다만 일부 직원이 해당 전자우편을 외부의 개인 전자우편 계정으로 재전송해 열람했고, 이 과정에서 개인용 컴퓨터가 악성코드에 감염된 사례가 있었다고 경찰은 설명했다. 경찰은 지난 3월 미군 수사기관과 정보 공유를 통해 피해를 확인한 후 수사에 착수, 해킹공격에 사용된 아이피(IP)가 2014년 김수키가 벌인 ‘한국수력원자력 해킹 사건’에서 사용된 IP 대역과 일치하는 사실을 파악했다. 아울러 기존 공격과 유사성, ‘념두’ 등 북한식 어휘 사용, 한미연합연습 시기(3월 13~23일) 등 전반을 고려할 때 이번 사건 역시 김수키의 소행인 것으로 판단했다. 경기남부경찰청 이상현 안보수사과장은 “한미 간 유기적인 협업과 선제 조치로 주한미군의 자료유출을 예방한 사례이다”라며, “앞으로도 국가안보에 위협이 되는 북한의 사이버 공격에 적극적으로 대응해나갈 계획이다”라고 밝혔다.

최근 한미연합연습 전투모의실에 파견된 직원들이 입은 해킹 피해가 북한 해킹조직 ‘김수키(Kimsuky)’ 소행인 것으로 파악됐다. 경기남부경찰청 안보수사과는 올해 2월부터 한미연합연습 전투모의실에 파견된 국내 워게임(War Game) 운용업체 직원들을 대상으로 발송된 악성 전자우편 사건을 수사한 결과 북 해킹조직이 범행한 것으로 확인됐다고 20일 밝혔다. 경찰에 따르면 경유지 구축 방법 등 기존 공격과 유사성, 전자우편상 북한식 어휘 ‘념두(염두)’ 등 사용, 한미연합연습 시기에 맞춰 공격한 점 등을 종합적으로 고려해 북한 해킹조직 소행이라고 판단한 것이다. 특히 이번 공격에 사용된 아이피(IP)주소는 2014년 발생한 ‘한국수력원자력 해킹 사건’ 당시 쓰인 아이피와 일치했다.김수키는 작년 4월부터 국내 워게임 운용업체를 해킹하기 위해 악성 전자우편 공격을 지속했다. 올해 1월경에는 해당 업체 소속 행정직원의 전자우편 계정을 탈취하고 업체 컴퓨터에 악성코드를 설치하는 데 성공한 것으로 조사됐다. 이후 원격접속을 통해 피해업체의 업무 진행 상황과 전자우편 송수신 내용을 실시간으로 확인하고, 업체 전 직원의 신상정보를 탈취한 것으로 확인됐다. 김수키의 범행은 여기서 멈추지 않았다. 탈취한 자료를 활용해 올해 2월부터 연말정산 시기에 맞춰 ‘원천징수영수증’으로 위장된 악성 전자우편을 한미연합연습 전투모의실에 파견된 피해업체 직원들을 대상으로 발송했다. 일부 직원이 해당 전자우편을 외부 계정으로 재전송하는 과정에서 개인용 컴퓨터가 악성코드에 감염되기도 했다. 이상현 경기남부경찰청 안보수사과장은 “한미 간 유기적인 협업과 선제 조치로 주한미군의 자료유출을 예방한 사례다”며 “앞으로도 국가안보에 위협이 되는 북한의 사이버 공격에 적극적으로 대응해나갈 계획”이라고 전했다.

AI 기반 차세대 통합 보안 솔루션 제공 시큐어링크(대표이사 고준용)가 투자전문 액셀러레이터 씨엔티테크와 DB그룹 신기술사업금융회사인 DB캐피탈이 결성한 씨엔티테크-디비드림빅 투자조합으로부터 투자를 유치했다고 밝혔다. 시큐어링크는 AI 및 엔드포인트 통합 보안 전문회사로, AI기반의 차세대 EPP 기술과 네트워크 ETA(암호위협) 탐지 및 기존 보안인프라에 AI 보안기능을 적용 확장할 수 있는 XDK 서비스를 개발 공급 중이다. 또한 엔드포인트를 통해 수집·분석해 온 악성코드의 통합특성기술과 네트워크 암호위협의 하이퍼메타 특성 추출 등 자체 기술력을 AI로 고도화해 API 형태로 제공하고 있다. 해당 서비스 이용 시 기업은 엔드포인트에서 네트워크까지 기존 보안 인프라의 성능을 향상시킬 수 있다. 특히 시큐어링크의 NETx 기술은 보안프로토콜을 사용하는 자율주행, 금융, 국방, 스마트시티, 스마트팩토리, IoT/IIoT 등 거의 전 분야의 사이버보안 영역에 적용 가능하며 장비 일체형 또는 클라우드를 통해 다양한 서비스를 지원한다. 시큐어링크는 현재 중소기업에 특화된 클라우드 서비스를 제공 중이며 공공기관과 금융 등 다양한 분야로 제품과 서비스 공급을 확대하고 있다. 씨엔티테크 전화성 대표는 “네트워크 암호위협 탐지는 세계적으로 초기 시장인 분야”라며 “전 세계 240조원이 넘는 사이버보안 시장에서 시큐어링크의 엔드포인트와 XDK 및 NETx가 결합된 서비스는 전 분야의 보안수준 향상 및 제로트러스트에 적합한 기술로 국내뿐만 아니라 글로벌 시장에서 성장이 기대된다”고 말했다. 시큐어링크 고준용 대표이사는 “이번 투자를 계기로 엔드포인트뿐만 아니라 차세대 네트워크 보안 장비 및 서비스 시장으로 제품을 확장하고 이미 체결한 글로벌 파트너와의 MOU 및 협력을 강화해 국내뿐만 아니라 아시아, 유럽, 북미 등의 시장으로 빠르게 진출할 계획”이라고 밝혔다. 한편 시큐어링크는 ‘2023 팀빌딩 지원사업’의 액셀러레이팅 프로그램에 참여하고 있다. ‘2023 팀빌딩 지원사업’은 서울경제진흥원(SBA)의 스타트업 지원 사업이다.

코로나19 확산으로 급감했던 침입 범죄가 엔데믹(감염병의 풍토병화) 전환 뒤 다시 늘어나고 있다는 빅데이터 분석 결과가 나왔다. 에스원은 빅데이터를 분석한 결과, 코로나19가 유행한 최근 3년간 침입 범죄는 연평균 25.8% 감소했지만 지난 상반기 엔데믹 전환 뒤엔 전년 대비 15.2% 증가했다고 26일 밝혔다. 여름 휴가철(7월 2주차∼8월 3주차) 침입 범죄가 가장 많이 일어난 시기는 8월 1주~2주차로 전체 침입 범죄의 42.5%가 이 시기에 집중됐다. 자정부터 오전 6시 사이 새벽 시간대 침임한 경우가 65.8%로 가장 높았으며 오전 1∼4시 사이에 가장 많은 범죄가 일어난 것으로 조사됐다. 에스원은 “침입 범죄가 새벽 시간대에 집중되는 것은 주택의 경우 우편물, 조명, 차량 주차 여부 등으로 빈 집을 확인하기가 쉽고, 매장은 주변에 인적이 드문 시간이기 때문”으로 분석했다. 침입 장소는 일반 매장(마트, 편의점, 의류점 등)이 44.2%로 가장 높게 나타났으며, 음식점(26.1%), 사무실(7.2%)이 뒤를 이었다. 침입 범죄 78.5%는 현금을 노린 범죄였으며, 이 중 88.2%가 100만원 이하 소액을 노린 이른바 ‘생계형 범죄’인 것으로 조사됐다.최근 개인정보 유출사고 등이 증가하자, 에스원은 정보보안 범죄 동향도 분석했다. 상반기 사이버 공격 시도는 지난해 하반기 대비 20.5% 증가한 것으로 나타났다. 기업을 대상으로 한 사이버 공격 시도가 94.9%로 압도적으로 높게 나타났고, 공장(3.6%), 교육시설(1.0%), 병원(0.3%) 등이 뒤를 이었다. 본격적인 여름 휴가철을 앞두고 여행객들을 노리는 정보보안 범죄도 주의해야 한다. ‘여행상품’, ‘초특가 할인’, ‘무료혜택’ 등 여름휴가와 관련된 키워드를 제목으로 한 이메일이나 문자에 악성코드를 심어 보내는 ‘피싱·스미싱’ 수법이 늘고 있다. 이때 첨부 파일이나 URL을 클릭해서는 안 된다.

국가정보원은 북한 정찰총국이 지난해 말부터 국내 보안인증 프로그램인 ‘매직라인’의 취약점을 노려 해킹 공격을 시도하고 있다고 28일 밝혔다. 매직라인은 국가·공공기관, 금융기관 홈페이지에서 공동인증서로 로그인할 때 본인인증을 위해 개인용 컴퓨터(PC)에 설치되는 프로그램이다. 제조사인 국내 보안업체 드림시큐리티는 올해 3월 보안패치를 마련했지만 사용자가 별도로 업데이트를 하지 않으면 최초 설치 상태 그대로 소프트웨어가 실행되는 것으로 나타났다. 국정원 관계자는 “일단 보안 취약점이 노출되면 해커가 해킹 경로로 지속 이용할 수 있는 방식”이라고 설명했다. 국정원은 경찰청·과학기술정보통신부·한국인터넷진흥원과 조사한 결과 지난해 말부터 북한 정찰총국이 매직라인 취약점을 악용해 기업과 기관 50여곳에 악성코드를 유포한 사실을 파악했다. 정보 유출 등 세부 피해 내용은 추가 조사 중이다. 또 민관 합동 사이버 대응기구 국가사이버위기관리단을 중심으로 피해 차단에 주력하고 있다. 드림시큐리티 관계자는 “올 3월 보안패치를 개발했지만 PC 업데이트 진행률이 낮아 해킹피해 우려가 커지고 있다”며 “회사나 가정에서 사용 중인 PC에서도 해당 소프트웨어 삭제나 보안패치를 신속히 진행해 달라”고 했다. 국정원 관계자는 “최근 국민 대다수가 사용하는 소프트웨어가 북한 해커의 악성코드 유포 경로로 연이어 쓰이고 있어 각별한 주의가 필요하다”며 “무엇보다 국민들의 예방조치가 중요한 만큼 PC에 설치된 해당 소프트웨어를 조속히 삭제하거나 업데이트해 달라”고 강조했다.

국가정보원은 북한 정찰총국이 지난해 말부터 국내 보안인증 프로그램인 ‘매직라인’의 취약점을 노려 해킹공격을 시도하고 있다고 28일 밝혔다. 매직라인은 국가·공공기관, 금융기관 홈페이지에서 공동인증서로 로그인할 때 본인인증을 위해 개인용 컴퓨터(PC)에 설치되는 프로그램이다. 제조사인 국내 보안업체 드림시큐리티는 올해 3월 보안패치를 마련했지만 사용자가 별도로 업데이트를 하지 않으면 최초 설치 상태 그대로 소프트웨어가 실행되는 것으로 나타났다. 국정원 관계자는 “일단 보안 취약점이 노출되면 해커가 해킹경로로 지속 이용할 수 있는 방식”이라고 설명했다.국정원은 경찰청·과학기술정보통신부·한국인터넷진흥원과 조사한 결과 지난해 말부터 북한 정찰총국이 매직라인 취약점을 악용해 기업과 기관 50여곳에 악성코드를 유포한 사실을 파악했다. 정보 유출 등 세부 피해 내용은 추가 조사 중이다. 또 민관 합동 사이버 대응기구 국가사이버위기관리단을 중심으로 피해 차단에 주력하고 있다. 드림시큐리티 관계자는 “올 3월 보안패치를 개발했지만 PC 업데이트 진행률이 낮아 해킹피해 우려가 커지고 있다”며 “회사나 가정에서 사용 중인 PC에서도 해당 소프트웨어 삭제나 보안패치를 신속히 진행해달라고”고 했다. 국정원 관계자는 “최근 국민 대다수가 사용하는 소프트웨어가 북한 해커의 악성코드 유포 경로로 연이어 쓰이고 있어 각별한 주의가 필요하다”며 “무엇보다 국민들의 예방조치가 중요한 만큼 PC에 설치된 해당 소프트웨어를 조속히 삭제하거나 업데이트해달라”고 강조했다.

북한이 평양 미림비행장 일대에서 대규모 열병식을 준비하는 모습이 이달 중순부터 다시 포착됐다고 자유아시아방송(RFA)이 21일 보도했다. 북한이 다음달 ‘전승절’에 군사정찰위성 실패를 만회하기 위한 대규모 열병식을 열 수 있다는 관측이 나온다. RFA에 따르면 미국 상업위성 서비스 플래닛랩스가 지난 15일 미림비행장 일대 열병식 훈련장을 촬영한 사진에서 다수의 병력과 차량이 포착됐다. 병력은 4000~8000명, 차량은 700~800대로 추정된다. 정성학 한반도안보전략연구원 연구위원은 “최근에 보지 못했던 대규모 훈련 모습”이라고 말했다. 북한이 6·25전쟁 정전 기념일이자 북한에서 전승절로 부르는 다음달 27일을 겨냥해 열병식 준비에 나선 것으로 보인다. 앞서 열병식 준비 동향은 지난달 중순부터 관측되다가 31일 군사정찰위성 1호기 발사를 전후로 잠시 중단됐다. RFA는 “차량과 병력이 지난 10일부터 다시 훈련장에 모이기 시작했다”고 설명했다. 조한범 통일연구원 선임연구위원은 “북한은 정전협정 체결 70주년인 정주년을 맞아 열병식을 준비해 왔던 것 같다”며 “다만 정찰위성 실패 이후 열병식에서 좀더 존재감을 드러내는 식으로 방향을 잡은 것으로 보인다”고 말했다. 한편 북한 연계 해킹 공격에서 상대적으로 안전하다는 인식이 있는 맥 운영체제(OS)를 겨냥한 북한의 사이버 공격이 국내에서 처음으로 발견됐다. 지니언스시큐리티센터가 북한 연계 해킹 조직으로 알려진 APT37의 위협을 분석한 보고서에 따르면 공격자는 국내 유명 대학교수를 사칭해 특강을 요청하는 이메일을 다수 전문가에게 보냈다. 특강 의뢰에 회신을 보내면 강의 개요서를 가장해 메일 계정 정보 탈취를 시도했는데, 맥북 이용자에게는 맥 OS용 악성코드가 포함된 파일 다운로드 링크를 보냈다. 보고서는 “외교·안보 및 대북 주요 인사들이 윈도·안드로이드·리눅스 기반 공격에 대비해 맥북을 전략적으로 선호한다는 사실에 기반한 공격으로 보인다”며 “새로운 보안 전략 수립이 요구된다”고 밝혔다.

경기남부경찰청 안보수사과는 25일 사이버보안 전문가들과 공동으로 북한의 해킹 공격 대응을 위한 ‘사이버 안보 워킹그룹’ 간담회를 개최했다고 밝혔다. ‘사이버 안보 워킹그룹’은 국가안보를 위협하는 해킹조직에 대한 심도있는 연구와 정보 공유를 위해 지난 2021년 발족했고, IT·보안업체 (플레인비트, S2W, 카스퍼스키, 지엠디소프트)와 한국인터넷진흥원등의 전문가로 구성돼 있다. 북한의 악성코드 유포, 암호화폐 탈취 등 사이버 안보 위협이 급증하는 가운데 열린 이번 간담회에서 이상현 안보수사과장은 “민간·공공 기관에 이르기까지 긴밀하고 유기적으로 협력을 해야 급변하는 북한의 사이버안보 위협에 대응할 수 있다”고 강조했다. 그는 또 “간담회를 통해 든든한 동반자적 관계를 유지하고 기술과 정책을 함께 연구하고 발전시켜 나가자”고 제안을 했다. 이어진 사례 발표에서 지난 3월 발생한 북한의 라자루스해킹그룹의 금융보안인증 소프트웨어의 취약점을 악용한 공격 사건의 수사결과 소개가 있었다. 이 사건은 북한이 국내 1000만대 이상 PC에 설치돼 인터넷뱅킹 등 전자금융서비스 이용에 필수적인 소프트웨어 취약점을 악용하고 국민 다수가 접속하는 언론사 인터넷사이트를 악성코드 유포 매개체로 활용해 피해가 대규모로 확산될 위험이 있었던 해킹 사건이다. 사이버안보워킹그룹간 긴밀한 공조로 악성코드를 신속히 발견하고 관련 보안취약점을 백신프로그램에 반영함과 동시에 피해업체에 대한 보안조치를 진행해 추가 피해를 막을 수 있었다. 특히 이사건은 방문 가능성이 높거나 많이 사용하는 사이트를 감염시킨후 방문자가 해당사이트에 접속시 방문자의 컴퓨터에 악성코드를 추가로 설치하는 ‘워터링홀방식’(Watering Hole)의해킹 공격을 수사를 통해 밝혀낸 최초의 사건이다. 이 과장은 “지난해 11월 보안인증 소프트웨어 취약점을 악용한 악성코드가 유포되고 있다는 제보를 입수해 조사에 착수했고, 소프트웨어 취약점을 악용하고 사이트를 감염시킨후 방문자가 해당사이트에 접속시 방문자의 컴퓨터에 악성코드를 추가로 설치하는 북한의 라자루스해킹조직의 수법과 일치한다는 것을 확인했다” 밝혔다. 이 과장은 “해킹 피해를 방지하기 위해서는 ▲백신 최신버전 업데이트 ▲S/W 취약점 점검·패치 적용 ▲문서 암호화 등 보안 수칙 생활화가 중요하고, 무엇보다도 해킹이 의심될 경우 신속하게 경찰 등 관련 기관에 신고하는 것이 더 피해를 예방하는 방법”이라고 조언했다. 한편, 경기남부경찰청은 이날 간담회에 참석한 플레인비트 이준형 책임연구원 등 5명에 대해 감사장을 수여하고 사이버 안보 워킹그룹간 협조를 당부했다.

미중 패권경쟁 심화로 ‘한미일 대 북중러’ 구도가 더욱 선명해지는 가운데 북한이 핵과 미사일 개발 자금을 마련하고자 IT(정보기술) 인력을 미국 기업에 취업시켰다. 중국 정부의 지원을 받는 해커 집단도 미군의 인도태평양 전진기지인 괌 지역의 주요 인프라에 악성코드를 심고 감시 활동을 벌였다. 정 박 미 국무부 대북특별부대표는 24일(현지시간) 캘리포니아 샌프란시스코에서 열린 ‘북한 IT 인력 활동 관련 한미 공동 심포지엄’에서 “전 세계에서 수천명의 북한 IT 인력이 활동하는 것으로 추정된다”며 “일부는 미국 기업에서도 일했다”고 밝혔다. 박 부대표는 “(북한인들이 일한) 기업 가운데 몇몇은 해킹까지 당해 큰 피해를 봤다”며 “북한 인력은 아시아에서 중동, 아프리카 등 (전 세계) 모든 곳에 있다”고 말했다. 그는 “이들이 버는 돈은 (보통의) 북한 노동자보다 훨씬 많지만 수입의 90%는 북한 정권이 가져간다”며 “IT 인력이 북한의 탄도미사일 프로그램에 해마다 5억 달러(약 6650억원) 이상 기여할 수 있다”고 강조했다. 이들은 북한의 핵과 탄도미사일 개발을 주도하는 군수공업부 소속으로 알려졌다. 김건 외교부 한반도평화교섭본부장도 “북한 IT 인력이 미 시민권자로 위장해 현지 기업에 취업한 사례가 적발됐다”며 “이런 일은 전 세계 어디서나 발생할 수 있다”고 말했다. 유엔 제재로 북한 노동자들의 외화벌이가 힘들어지자 미국인의 신분증을 사거나 빌려 링크드인 등 구인구직 플랫폼에서 일자리를 찾고 있다는 것이 한미 외교당국의 판단이다. 이들은 코로나19 대유행으로 원격 근무가 가능하다는 점을 십분 활용해 대면 접촉을 최소화하는 방식으로 신분을 숨겼다. 미 국가안보국(NSA)은 이날 “(미군 시스템 등) 중요 인프라 네트워크를 표적으로 삼는 사이버 행위자를 찾았다”며 “이들은 중국 정부의 후원을 받고 있다”고 밝혔다. 마이크로소프트도 공지를 통해 “중국 정부의 후원을 받는 해커 집단 ‘볼트 타이푼’이 (미군 기지가 있는) 괌 등에 감시용 악성코드를 심었다”고 전했다. 주요 목적은 스파이 활동으로 보이지만 시스템 방화벽을 뚫고 파괴 공격을 수행할 능력도 갖췄다고 뉴욕타임스(NYT)는 설명했다.

지난 3년간 북한발 사이버 공격의 74%가 네이버나 다음 등 포털을 사칭한 이메일 피싱 공격으로 나타났다. 국가정보원이 25일 공개한 ‘2020 ~2022년 북한 해킹조직 사이버 공격 통계’에 따르면 대한민국을 상대로 한 북한 사이버 공격 중 이메일을 악용한 해킹 공격의 비중이 가장 높았다. 이어 보안프로그램 약점을 뚫는 ‘취약점 악용’(20%), 특정사이트 접속 시 악성코드가 설치되는 ‘워터링 홀’(3%) 수법이 뒤를 이었다. 해킹 메일을 사칭한 기관으로는 포털 네이버와, 카카오가 운영하는 다음이 각각 45%와 23%였다. 금융·기업·방송언론을 사칭한 경우도 12%, 외교안보 기관을 사칭한 경우도 6%를 차지했다. 특히 북한은 수신자가 메일을 쉽게 열람하도록 발신자명과 메일 제목을 교묘하게 변형했다. 발신자를 포털사이트 운영자인 것처럼 가장했고 이메일 주소도 ‘naver’를 ‘navor’로, ‘daum’을 ‘daurn’으로 표시했다. 국정원 관계자는 “북한이 해킹 메일로 확보한 계정정보를 이용해 2~3차 공격 대상자를 선정해 악성코드 유포 등 공격을 수행하고 있다”고 말했다. 국정원은 이메일을 열람할 때 발신자명과 함께 ‘관리자 아이콘’을 확인하고 공식 관리자 메일 주소인지 등을 점검하라고 당부했다. 국정원 관계자는 “북한이 대한민국 국민 전체를 대상으로 해킹 공격을 하고 있다”며 “네이버와 다음 등 국내 주요 포털사이트 운영사와 해킹 메일 차단 방안 마련을 위한 정보 공유를 강화하겠다”고 밝혔다.

지난 3년간 북한발 사이버 공격의 74%가 포털 네이버나 다음 등을 사칭한 이메일 피싱 공격으로 나타났다. 국가정보원이 25일 공개한 ‘2020~2022년 북한 해킹조직 사이버 공격 통계’에 따르면 대한민국을 상대로한 북한 사이버 공격 중 이메일을 악용한 해킹 공격의 비중이 가장 높았다. 이어 보안프로그램 약점을 뚫는 ‘취약점 악용’(20%), 특정사이트 접속시 악성코드가 설치되는 ‘워터링 홀’(3%) 수법이 뒤를 이었다. 해킹 메일을 사칭한 기관으로는 포털 네이버와, 카카오가 운영하는 다음이 각각 45%와 23%였다. 금융·기업·방송언론을 사칭한 경우도 12%, 외교안보 기관을 사칭한 경우도 6%를 차지했다.특히 북한은 수신자가 메일을 쉽게 열람하도록 발신자명과 메일 제목을 교묘하게 변형했다. 발신자를 포털사이트 운영자인 것처럼 가장했고 이메일 주소도 ‘naver’를 ‘navor’로, ‘daum’을 ‘daurn’로 표시했다. 국정원 관계자는 “북한이 해킹 메일로 확보한 계정정보를 이용해 2~3차 공격 대상자를 선정해 악성코드 유포 등 공격을 수행하고 있다”고 설명했다. 국정원은 이메일을 열람할 때 발신자명과 함께 ‘관리자 아이콘’ 확인하고 공식 관리자 메일 주소인지 등을 점검하라고 당부했다. 국정원 관계자는 “북한이 대한민국 국민 전체를 대상으로 해킹 공격을 하고 있다”며 “네이버와 다음 등 국내 주요 포털사이트 운영사와 해킹 메일 차단 방안 마련을 위한 정보 공유를 강화하겠다”고 밝혔다.

중앙선거관리위원회가 북한의 해킹 시도와 관련해 국가정보원의 보안점검을 수용하는 방안을 검토하고 있는 것으로 알려졌다. 15일 국회 행정안전위원회 등에 따르면 선관위는 전체회의를 하루 앞두고 행안위에 이런 의사를 전달했다. 선관위 관계자는 “내일(16일) 국회 행안위 현안 질의에서 사무총장이 관련 입장을 직접 밝힐 것”이라고 말했다. 앞서 선관위는 북한으로부터 해킹 시도가 있었는데도 행정안전부와 국정원의 보안 점검 권고를 거부했다는 논란이 제기됐다. 이에 선관위는 “북한 해킹 메일과 악성코드 수신 및 감염 사실을 국정원으로부터 문서나 유선으로 통보받은 사실이 없다”며 “헌법상 독립기관인 선관위가 행안부·국정원의 보안컨설팅을 받을 경우 정치적 중립성에 관한 논란을 야기할 수 있다”고 반박했지만 입장을 바꿨다. 선관위는 박찬진 사무총장과 송봉섭 사무차장의 자녀 특혜 채용 의혹에 대해서는 자체 특별감사를 실시한 뒤 결과에 따라 감사원의 감사를 수용하는 방안도 검토 중인 것으로 전해졌다. 이들은 지방공무원으로 근무하다가 각각 지난해와 2018년도에 선관위 경력직 공무원에 채용됐다. 선관위는 전날 “이달 중 별도의 특별감사위원회를 설치하고 특별감사를 실시하겠다”고 밝혔다. 비판이 고조되자 ‘특혜는 없었다’던 기존 입장을 바꾼 것이다. 행안위 소속 정우택 국민의힘 의원이 선관위에서 받은 자료에 따르면 송 차장 자녀는 2018년 충남 보령시에서 충북 단양군 선관위에 경력 채용될 때 면접관으로 위촉된 선관위 내부 직원 3명으로부터 모두 면접 점수 만점을 받은 것으로 나타났다. 면접관 3명은 송 차장 자녀와 함께 시험에 응시한 다른 지원자에게도 모두 면접 점수 만점을 줬다. 한편 여야는 오는 24일 국회 운영위원회 전체회의를 열어 대통령실을 상대로 현안 질의를 실시하기로 잠정 합의했다. 대통령비서실에서는 김대기 비서실장과 이관섭 국정기획수석 등 수석 전원이, 국가안보실에서는 조태용 실장과 김태효 1차장 등이 참석 대상이다. 여야는 운영위에서 윤석열 대통령의 한미·한일 정상회담 결과를 놓고 공방을 벌일 것으로 예상된다.

“내일 국회 행안위에서 사무총장이 입장 발표”사무총장·차장 자녀 의혹도 감사원 수용 검토 중앙선거관리위원회가 북한의 해킹 시도와 관련 국가정보원의 보안점검을 수용하는 방안을 검토하고 있는 것으로 알려졌다. 15일 국회 행정안전위원회 등에 따르면 선관위는 전체회의를 하루 앞두고 행안위에 이런 의사를 전달했다. 선관위 관계자는 “내일(16일) 국회 행안위 현안 질의에서 사무총장이 관련 입장을 직접 밝힐 것”이라고 말했다. 앞서 선관위는 북한으로부터 해킹 시도가 있었는데도 행정안전부와 국정원의 보안 점검 권고를 거부했다는 논란이 제기됐다. 이에 선관위는 “북한 해킹 메일과 악성코드 수신 및 감염 사실을 국정원으로부터 문서나 유선으로 통보받은 사실이 없다”며 “헌법상 독립기관인 선관위가 행안부·국정원의 보안컨설팅을 받을 경우 정치적 중립성에 관한 논란을 야기할 수 있다”고 반박했지만 입장을 바꿨다. 선관위는 박찬진 사무총장과 송봉섭 사무차장의 자녀 특혜 채용 의혹에 대해서는 자체 특별감사를 실시한 뒤 결과에 따라 감사원의 감사를 수용하는 방안도 검토 중인 것으로 전해졌다. 이들은 지방공무원으로 근무하다가 각각 지난해와 2018년도에 선관위 경력직 공무원에 채용됐다. 선관위는 전날 “이달 중 별도의 특별감사위원회를 설치하고 특별감사를 실시하겠다”고 밝혔다. 비판이 고조되자 ‘특혜는 없었다’던 기존 입장을 바꾼 것이다. 행안위 소속 정우택 국민의힘 의원이 선관위에서 받은 자료에 따르면 송 차장 자녀는 2018년 충남 보령시에서 충북 단양군 선관위에 경력 채용될 때 면접관으로 위촉된 선관위 내부 직원 3명으로부터 모두 면접 점수 만점을 받은 것으로 나타났다. 면접관 3명은 송 차장 자녀와 함께 시험에 응시한 다른 지원자에게도 모두 면접 점수 만점을 줬다. 한편 여야는 24일 국회 운영위원회 전체회의를 열어 대통령실을 상대로 현안 질의를 실시하기로 잠정 합의했다. 대통령비서실에서는 김대기 비서실장과 이관섭 국정기획수석 등 수석 전원이, 국가안보실에서는 조태용 실장과 김태효 1차장 등이 참석 대상이다. 여야는 운영위에서 윤석열 대통령의 한미·한일정상회담 결과를 놓고 공방할 것으로 예상된다.

2021년 서울대병원에서 발생한 83만건의 개인정보 유출 사건은 북한 해킹조직의 소행으로 드러났다. 악성코드 감염으로 바깥으로 새 나간 정보는 조직검사와 같은 병리 검사 결과, 진단명, 환자 이름 등 모두 81만건에 달한다. 경찰은 이들이 주요 인사에 대한 진료 정보를 노리고 해킹을 저지른 것으로 봤다. 경찰청 국가수사본부는 2021년 발생한 서울대학교병원 개인정보 유출사건 수사 결과를 10일 발표했다. 경찰청 관계자는 “공격 근원지의 IP 주소, IP 주소 세탁 기법, 시스템 침입·관리 수법, 내부망 장악 시 사용한 계정 비밀번호에 북한 어휘가 사용된 점 등을 종합적으로 판단해 북한 해킹조직의 소행으로 판단했다”며 “‘김수키’와 연관이 있는 것으로 추정된다”고 밝혔다. 이들은 서울대병원 내부망을 장악할 때 사용했던 계정의 비밀번호에 ‘다치지 말라’(건들지 말라는 의미)는 북한 어휘를 사용하기도 했다. 이들은 2021년 5~6월 국내외에 소재한 서버 7곳을 장악해 서울대병원을 해킹하기 위한 기반을 마련한 것으로 조사됐다. 경찰청 관계자는 “전현직 직원 1만 7000명의 정보는 실제로 유출된 것을 확인했고, 나머지 81만명의 환자 개인정보는 유출 정황을 확인했다”고 말했다.

2021년 서울대병원에서 발생한 83만건의 개인정보 유출 사건은 북한 해킹조직의 소행으로 드러났다. 악성코드 감염으로 바깥으로 새 나간 정보는 조직검사와 같은 병리 검사 결과, 진단명, 환자 이름 등 모두 81만건에 달한다. 경찰은 이들이 주요 인사에 대한 진료 정보를 노리고 해킹을 저지른 것으로 봤다. 경찰청 국가수사본부는 2021년 발생한 서울대학교병원 개인정보 유출사건 수사 결과를 10일 발표했다. 경찰청 관계자는 “공격 근원지의 IP주소, IP주소 세탁 기법, 시스템 침입·관리 수법, 내부망 장악 시 사용한 계정 비밀번호에 북한 어휘가 사용된 점 등을 종합적으로 판단해 북한 해킹조직의 소행으로 판단했다”며 “‘김수키’와 연관이 있는 것으로 추정된다”고 밝혔다. 김수키는 라자루스, 블루노로프, 안다리엘 등과 함께 북한 정찰총국 내 있는 여러 개의 해킹조직 중 하나다. 이들은 서울대병원 내부망을 장악할 때 사용했던 계정의 비밀번호에 ‘다치지 말라’(건들지 말라는 의미)는 북한 어휘를 사용하기도 했다. 경찰청 관계자는 “암호화돼 있는 비밀번호를 풀어보니 이런 단어를 사용한 것”이라며 “그동안 남한 쪽 여러 기관을 해킹하는 과정에서 압수되거나 공격이 막힌 것에 대한 메시지로 보인다”고 설명했다. 이들은 2021년 5~6월 국내외에 소재한 서버 7곳을 장악해 서울대병원을 해킹하기 위한 기반을 마련한 것으로 조사됐다. 서울대병원 내부망에 침투하기 위해 여러 서버를 살피던 이들은 게시판 글쓰기 기능에서 사진과 파일을 업로드할 때 악성코드를 심을 수 있다는 취약점을 발견했다. 이후 이들은 서울대병원 내부망에 침투해 각종 개인정보를 빼냈다. 경찰은 이들이 환자 81만여명, 전현직 직원 1만 7000명 등 모두 83만명의 개인정보를 빼낸 것으로 판단했다. 경찰은 “전현직 직원 1만 7000명의 정보는 실제로 유출된 것을 확인했고, 나머지 81만명의 환자 개인정보는 유출 정황을 확인했다”며 “아직까지 개인정보 유출 이후 2차 피해가 확인되거나 신고가 접수된 경우는 없다”고 설명했다. 북한 해킹조직은 조직검사와 세포 검사 등 병리 검사 사진과 진단명 등이 저장됐던 서버를 주 타깃으로 삼은 것으로 조사됐다. 유출 정황이 확인된 환자 81만명의 정보도 모두 병리 검사 결과가 저장됐던 서버에서 새 나갔다. 경찰청 관계자는 “피의자 검거 이후 진술을 받아야 해킹 목적을 확인할 수 있지만, 이번 사건은 검거가 불가능하다”면서도 “다만 주요 인사 등에 대한 진료 정보를 빼내기 위한 것이 목적으로 서울대병원을 해킹한 것으로 보인다”고 말했다. 다만 주요 인사의 진료 정보가 실제로 유출됐는지에 대해선 “확인해주기 어렵다”고 했다.

“선거관리위원회가 북한의 심각한 위협으로부터 스스로를 무책임하게 방치하고 있다”(국회 행정안전위 소속 국민의힘 의원들, 2023년 5월 3일) “국가정보원과 행정안전부가 북한 해킹 시도를 핑계로 헌법기관의 정보에 개입하려 하고 있다”(국회 행안위 소속 더불어민주당 의원들, 2023년 5월 4일) 북한 해커 조직이 한국의 중앙선거관리위원회에 대해 해킹을 시도했다는 사실이 논란이 되고 있습니다. 지난 2년간 중앙선관위에 대한 북한의 해킹 공격이 이어져 국정원이 보안점검을 권고했지만 선관위는 이를 거부했다는 주장이 제기된 겁니다. 5일까지 나온 국정원과 중앙선관위의 입장엔 상충하는 지점이 있습니다. 선관위는 지난 3일 입장문에서 “북한 해킹 메일과 악성코드 수신·감염 사실을 국정원으로부터 문서나 유선으로 통보받은 사실이 없다”고 부인했습니다. 반면 국정원은 선관위의 악성코드 감염과 이메일 해킹 사실을 통보했다고 반박했습니다. 국정원은 4일 유상범 국민의힘 의원의 질의에 대한 답변으로 “지난 2년간 북한 정찰총국의 해킹 메일과 악성코드 감염 등 사이버 공격 정보와 함께 피해 일시·IP 등 대응 조치에 필요한 사항을 이메일과 전화로 8회 통보했다”고 했습니다. 이어 국정원은 ▲해킹메일 유포(2023년 3월 31일, 2022년 4월 6일, 2021년 5월 12일, 2021년 4월 9일) ▲악성 코드 감염(2021년 4월 21일) ▲이메일 해킹(2021년 4월 12일, 2021년 3월 26일)을 통보했다고 밝혔습니다. 또 문제를 제기하는 측과 선관위 사이엔 사이버 안보 대응 체계에 대한 시각 차이도 엿보입니다. 선관위는 입장문에서 공정한 선거관리를 위한 독립기관인 만큼 자체 통합보안관제 시스템을 운영하고 있다는 점을 강조했습니다. 선관위는 “헌법상 독립기관인 선관위가 행안부, 국정원의 보안 컨설팅을 받을 경우 정치적 중립성에 관한 논란을 야기할 수 있다”고 우려하면서 “(시스템) 신뢰성 제고를 위해 국내 및 국제 표준 정보보호 관리체계 인증을 획득·유지하고 있다”고 주장했습니다. 반면 행안위 여권 의원들은 “선관위 북한 해킹 공격 시도로 선거인 명부 유출, 투· 개표 조작, 시스템 마비 등 치명적 결과 벌어질 수 있다”며 선관위 역시 국정원의 보안점검을 받을 필요가 있다고 주장했습니다. 안보 전문가 “독자적 인력 갖춘 선관위의 자체적 대응이 우선되어야” 중앙선관위는 홈페이지에서 “3·15 부정선거에 대한 반성으로부터 공명정대한 선거관리라는 헌법적 책무를 부여받고 창설됐다”고 소개하고 있습니다. 여권이 지적하는 북한의 해킹이나 야권이 지적하는 국정원의 정보 개입 모두 이상적인 공정한 선거 관리를 위협하는 요소일 수 있습니다. 더 큰 문제는 북한의 대남 사이버 위협이 고도화되면서 선관위가 북한 해커들의 공격대상이 되고 국정원의 보안 점검 권고를 받는 상황이 반복될 수 있다는 점입니다. 국정원에 따르면 지난해 한국에 대한 국제 해킹 조직의 하루 평균 해킹 시도는 118만건이고 절반 가량이 북한발 공격으로 파악됩니다. 이와 관련 사이버 안보 분야 전문가들은 다양한 의견을 제시했습니다. 선관위의 자체 대응 시스템 점검이 우선이라는 주장이 나오지만 선관위의 자체 능력이 부족하다면 직원 입회를 전제로 국가기관과 협력하는 것이 필요하다는 지적도 제기됩니다. 김승주 고려대 정보보호대학원 교수는 “국정원이 선관위에 8건을 통보했다고 알려지며 문제가 커 보이지만 실상 5건의 해킹 시도 건수 자체는 자체적으로 주의를 하면 되는 수준이고 악성 코드 감염에 대해선 독자적으로 인력을 갖추고 있는 선관위가 적절한 조치를 했는지를 확인하면 될 일”이라며 “현 제도상 국정원이 강제적으로 개입하지 못하는 대표적인 곳이 선관위와 국회이고 만약 개입이 필요하다면 선관위만 논의할 이유는 없다고 본다”고 말했습니다. 반면 박춘식 아주대 사이버보안학과 교수는 “선관위에 이미 해킹 사고가 터졌다면 전문기관들의 도움을 받아 침투 방법을 파악하기 위한 로그 분석 등을 이행해야 재발을 방지할 수 있다”며 “선관위엔 보안전문가가 충분히 많은 기관이 아니기 때문에 관련 기관과 적극 협력해 사고 원인을 파악할 필요가 있다”고 주장했습니다. 이어 “정보 유출이 문제라면, 개인 정보가 보이지 않게 분석할 수 있는 방법도 있다”고도 했습니다.

중앙선거관리위원회가 최근 북한의 해킹 조직으로부터 여러 차례 해킹 공격을 받고서도 국가정보원의 보안 점검을 거부했다고 한다. 북의 해킹 메일과 악성코드가 선관위에 수신 감염된 것을 국정원에서 확인해 이를 선관위에 알리고 보안 점검도 권고했다는 게 여권 고위 관계자의 설명이다. 그러나 선관위는 감염 사실을 통보받은 건 없고 보안 점검은 권고받았으나 헌법기관에 대한 정치적 중립성 침해 논란 등을 이유로 거부했다고 한다. 대신 선관위는 자체 보안 점검을 강화한다지만 내년 총선을 앞두고 보안의식이 안이한 건 아닌지 우려된다. 중앙선관위 해킹을 시도한 것으로 추정되는 기관은 북한의 정찰총국과 연계된 ‘라자루스’라는 해킹 조직이다. 2014년 미국 소니픽처스 해킹, 2016년 방글라데시 중앙은행 해킹을 이 조직이 했다. 국내에서는 지난해 11월 공공기관 3곳 등 61개 기관을 해킹한 바 있다. 지난 2월 사이버 분야 대북 제재 대상으로 지정된 상태다. 선관위는 해킹세력의 공격 대상이 된 지 오래다. 서울시장 보궐선거가 치러진 2011년 10월 26일 디도스 공격으로 홈페이지 내 투표소 위치 검색이 안 되는 등 두 시간 남짓 기능이 마비되면서 특검까지 받았고 2012년 19대, 2016년 20대 총선 때도 디도스 공격을 받은 바 있다. 사정이 이렇다면 보안 점검을 마다할 이유가 없다. 내년 총선을 앞두고 투개표 관리 등 선관위 업무관리에 구멍이 뚫리면 상상을 초월한 대가를 치러야 한다. 정보당국의 보안 점검이 선관위의 독립성을 해친다는 논거는 수긍하기 어렵다. 국가기관 간 불신에서 빚어진 일이라면 이거야말로 당장 치유해야 할 병증이 아닐 수 없다. 북의 사이버공격 파괴력을 간과해선 안 될 일이다. 선관위는 강도 높은 사이버 대책을 내놓기 바란다.

최근 LG유플러스에서 발생한 고객 정보 유출과 인터넷 접속 장애는 데이터 외부 유출에 대한 탐지·대응 체계의 부재, 네트워크 보안 장비의 미비 등 전반적 보안 부실에서 비롯된 것으로 나타났다. LG유플러스의 보안 인력과 예산은 다른 통신사에 비해 상대적으로 낮았다. 과학기술정보통신부는 27일 LG유플러스 정보 유출·접속 장애 사고 원인과 조치 방안을 발표했다. 과기정통부는 LG유플러스에서 고객 인증 시스템을 통해 2018년 6월쯤 29만 7117명분 개인 정보가 유출됐을 것으로 추정했다. 유출 경로는 정확히 파악되지 않았으나, 고객 인증 시스템이 보안에 취약했고 대용량 데이터 이동 등에 대한 실시간 탐지 체계가 없었던 것이 사고 원인으로 추정됐다. 당시 고객인증 데이터베이스(DB) 시스템에 웹 관리자 계정 암호가 시스템 초기 암호로 설정돼 있었고 관리자 계정으로 악성코드(웹셸)를 설치할 수 있었으며, 관리자의 DB 접근 제어 등 인증체계가 미흡했다. 올해 초 해킹 사이트에 LG유플러스 고객정보 2000만건을 6비트코인에 판매한다는 글을 올린 해커의 정체도 파악되지 않았다. 2차 피해 가능성에 대해 과기정통부는 스미싱, 이메일 피싱은 가능성이 있고, 불법 로그인, 유심(USIM) 복제는 비밀번호 암호화 등 조치로 가능성이 작다고 판단했다. 올해 1월 29일, 2월 4일 각각 63분과 57분에 걸쳐 유선 인터넷, 주문형 비디오(VOD), 070 전화 서비스 접속 장애를 일으킨 디도스 공격은 내부 라우터 장비 외부 노출, 라우터 간 접근 제어 정책 미흡, 주요 네트워크 구간 보안장비 미설치 등이 원인으로 지목됐다. 다른 통신사는 라우터 정보 노출을 최소화하고 있으나, LG유플러스의 경우 디도스 공격 전에 약 68개의 라우터가 노출돼 공격을 받은 것으로 분석됐다. 광대역 데이터 망에 라우터 보호를 위한 보안 장비도 설치돼 있지 않았다. 과기정통부는 LG유플러스의 정보보호 투자와 인력, 조직이 다른 통신사 대비 부족하다고 지적했다. 지난해 LG유플러스의 전체 정보통신 투자 대비 정보보호 투자액 비중은 3.7%로 KT 5.2%, SKT 3.9%보다 낮았다. 정보보호 인력도 91명으로 KT 336명, SKT 305명에 비해 적은 수준이었다. 아울러 LG유플러스에서 네트워크 구간마다 침입 탐지·차단 보안장비가 없었고 전사적인 정보기술(IT) 자원에 대한 통합 관리시스템도 부재했다. 과기정통부는 LG유플러스가 정보보호 인력과 예산을 타사 수준까지 확대할 것과 최고경영자(CEO) 직속 정보보호 조직을 구성하고, 맞춤형 모의훈련 및 C레벨 포함 보안 필수 교육을 도입할 것을 요구했다. 또 분기별로 보안 취약점을 점검하고 실시간 모니터링 체계와 IT 자산 통합 관리 시스템 개발·구축, 라우터 보호 시스템(IPS) 등 보안 장비 확충을 요구했다.

휴대전화 문자메시지(SMS)로 온 모바일 청첩장을 눌렀다가 개인정보가 유출돼 수천만원의 대출 피해를 본 사건이 발생해 경찰이 수사에 나섰다. 20일 경찰에 따르면 경남 사천경찰서는 문자메시지를 통한 휴대전화 해킹을 당했다는 고소장이 접수돼 관련 사건을 수사 중이다. 경찰에 따르면 50대 A씨는 지난 4일 자신의 휴대전화로 온 모바일 청첩장에 쓰여 있는 인터넷 주소를 눌렀다가 이른바 ‘스미싱’ 피해를 봤다. 스미싱은 문자메시지(SMS)와 피싱(Phishing)의 합성어로 ① 문자메시지 속 인터넷주소 클릭하면 ② 악성코드가 스마트폰에 설치되어 ③ 소액결제를 유도하거나 개인·금융정보 탈취해 악용하는 범죄 수법을 말한다. A씨의 경우 모바일 청첩장에 적힌 인터넷 주소를 누른 순간 휴대전화에 특정 앱이 설치됐고 이를 다시 누르면서 A씨의 개인정보가 불상의 피의자에게 유출된 것으로 알려졌다. 이 피의자는 A씨의 개인정보로 알뜰폰을 개설한 뒤 다음 날 인터넷 은행을 통해 6970만원을 대출받은 것으로 파악됐다. 인터넷 은행에서 대면 확인 없이 돈을 대출받을 수 있다는 점을 악용한 것이다. 경찰은 피해금이 8개 계좌를 통해 이체된 사실을 확인하고 계좌 압수수색을 통해 관련 수사를 이어가고 있다고 밝혔다. 경찰은 휴대전화 문자메시지로 출처가 확인되지 않은 인터넷 주소를 받을 경우 절대 클릭해선 안 된다고 주의를 당부했다.

지난해 인터넷뱅킹에 쓰이는 금융 보안인증 프로그램의 취약점을 악용해 컴퓨터를 해킹하고 악성코드를 퍼뜨린 사건이 북한과 연계된 해커그룹 ‘라자루스’의 소행으로 확인됐다. 경찰은 라자루스가 1000만대 넘는 국내 기관·기업·개인 PC에 설치된 보안인증 프로그램을 이용해 대규모 대남 사이버 공격을 준비한 정황도 확인했다. 경찰청 국가수사본부는 18일 “북한이 전자 금융서비스 이용에 필수적으로 설치되는 프로그램의 취약점을 악용하고, 국민 대다수가 접속하는 언론사 홈페이지를 악성코드 유포의 매개체로 활용한 해킹 사건”이라고 밝혔다. 2014년 김정은 북한 국무위원장을 다룬 영화 ‘더 인터뷰’ 제작사 소니픽처스를 해킹해 이름을 알린 라자루스는 북한 정찰총국이 배후에 있는 것으로 알려졌다. 라자루스는 2016년 방글라데시 중앙은행 해킹 사건, 2017년 워너크라이 랜섬웨어 사건에도 연루됐다. 우리 정부는 지난 2월 사이버 분야 대북 독자 제재 대상으로 라자루스를 지정한 바 있다. 박현준 경찰청 안보수사국 첨단안보수사계장은 “해킹 수법이나 공격 인프라 구축 방식 등을 감안하면 라자루스 소행이 확실하다”며 “다른 조직일 가능성은 없다는 게 경찰뿐 아니라 다른 관계기관의 일치된 의견”이라고 말했다. 경찰에 따르면 라자루스는 2021년 4월부터 1년 동안 국내 보안 인증업체를 해킹해 보안인증 프로그램을 이용한 사이버 공격을 준비했다. 해킹에 악용된 프로그램은 이니텍의 금융 보안인증 소프트웨어로, 전자금융·공공부문 인증서 관련 프로그램이다. 이들은 지난해 6월부터 이 프로그램이 설치된 PC가 특정 언론사 홈페이지에 접속하면 자동으로 악성코드가 설치되는 ‘워터링 홀’ 수법으로 국내 언론사 8곳, 의료바이오 기관 4곳, 공공기관 3곳 등 모두 61개 기관의 PC 207대를 해킹했다. 이 악성코드에 감염되면 내부 시스템 자료 탈취, 키보드 입력 내용 실시간 탈취, 강제로 특정 홈페이지 접속 등이 가능한 것으로 조사됐다. 이른바 ‘좀비 PC’가 된다는 얘기다. 라자루스는 이렇게 해킹한 PC의 관리자 권한을 빼앗은 이후 대규모 사이버 공격을 감행할 계획이었다. 다만 악성코드 감염 의심 첩보 등으로 입수한 뒤 보안 패치를 개발하면서 이를 막아 낼 수 있었다는 게 경찰의 설명이다. 국가정보원은 지난달 관련 보안 취약점을 공개하고 신속한 보안인증 프로그램 업데이트를 당부한 바 있다. 경찰청 관계자는 “해킹 피해를 예방하기 위해 보안인증 프로그램을 최신 버전으로 업데이트해 달라”고 말했다.