| 한스경제=석주원 기자 | 지난 8월 세계적인 해킹 기술 전문지 ‘프랙(Phrack Magazine)’이 공개한 한국 정부 대상의 해킹 공격 의혹 중 일부가 사실로 밝혀지면서 구멍 뚫린 국내 보안 체계의 민낯이 적나라하게 드러났다.

‘Saber’와 ‘cyb0rg’라는 닉네임의 화이트해커 둘이 공동 작성한 ‘APT Down: The North Korea Files’ 보고서는 북한 해킹 그룹 ‘Kimsuky’로 추정되는 공격자의 작업용 컴퓨터에서 탈취한 8.9GB 분량의 데이터를 분석한 결과물이다. 보고서에 따르면 공격자들은 2022년 9월부터 올해 7월까지 약 3년간 한국의 정부 기관과 주요 기업을 대상으로 지속적인 침투 공격을 감행했다.

특히 정부 내부망에서만 접근 가능한 행정 시스템까지 장악했다는 점에서 침해 수준이 심각하다는 평가다. 국군방첩사령부의 공식 이메일 계정 다수가 스피어피싱 공격에 노출됐으며 외교부가 사용했던 ‘깨비메일’ 플랫폼의 소스코드가 공격자의 시스템에서 발견됐다. 깨비메일은 이미 2019년에 기술지원이 종료된 웹메일 서비스로 현재는 사용되지 않는다.

더욱 심각한 것은 행정안전부가 운영하는 정부 내부망 전용 행정 시스템 ‘온나라’에 대한 침투 정황이다. 공격자는 온나라 서비스에 로그인하는 파이썬(Python) 스크립트를 보유하고 있었으며 올해 5월까지 접속 로그가 남아있었다. 통일부와 해양수산부의 온나라 서비스 인증 토큰 생성 소스코드도 함께 탈취됐다.

행정안전부는 지난 17일 공식 발표를 통해 650명 이상의 공무원 GPKI 인증서가 유출됐다고 시인했다. GPKI는 정부 공무원이 공문서에 전자서명하고 인증하는데 사용하는 디지털 인증서로 이번 유출을 악용하면 공격자들은 한국 공무원으로 위장해 전자문서에 서명하고 보호된 시스템에 침투할 수 있다.

정부만 표적이 된 것이 아니다. 주요 통신사와 금융사도 공격 대상에 포함됐다. LG유플러스는 내부 패스워드 통합 관리 솔루션의 웹서버 소스코드가 탈취됐다. 공격자들은 먼저 보안 솔루션 업체 SECUREKI를 해킹한 뒤 이를 발판 삼아 LG유플러스 내부망으로 침투한 것으로 분석됐다.

업계에 따르면 지난 7월 과기정통부는 LG유플러스에 해킹 점검을 요청했지만 8월 LG유플러스는 돌연 계정권한관리서버의 운영체제를 재설치하고 해킹 사실이 없다고 통보한 것으로 알려졌다. 논란이 되자 LG유플러스 측은 자체 점검에서 취약점을 발견해 운영체제를 재설치하고 서버 기록은 당국에 제출했다고 해명했다.

기지국 해킹으로 논란이 됐던 KT도 원격 제어 서비스의 인증서와 개인키가 유출된 정황이 확인됐다. 이는 KT가 원격 지원을 제공하던 모든 기업에 대한 접근이 가능했음을 의미한다. 이뿐 아니라 국내 언론사에서도 SpawnChimera라는 백도어가 설치된 흔적이 발견됐으며 네이버·카카오·다음 등 주요 포털로 위장한 피싱 공격 정황도 포착됐다.

국가정보원은 지난 17일 보도자료를 통해 프랙에서 보고서를 공개하기 전인 7월 온나라 시스템 등 공공 및 민간 분야 해킹 첩보를 사전에 입수하고 행안부 등 유관 기관과 합동으로 정밀 분석을 실시해 해킹 사실을 확인하고 추가피해 방지를 위한 대응에 적극 나섰다고 설명했다.

전문가 분석에 따르면 공격자들이 사용한 해킹 도구는 매우 정교한 것으로 알려졌다. 대규모 스피어피싱 캠페인에 사용된 ‘Generator.php’는 트렌드마이크로와 구글 등 보안업체의 IP를 차단하는 블랙리스트 기능을 갖춰 탐지를 회피했다.

주목되는 것은 ‘Tomcat’이라는 이름의 리눅스 커널 레벨 루트킷이다. 이 백도어는 특정 TCP 시퀀스 조합을 통한 포트 노킹 방식으로 작동하며 프로세스와 네트워크 연결, 파일을 은닉하는 기능을 갖췄다. SSL/TLS 암호화를 통한 C2(명령 제어) 통신을 지원해 탐지가 극히 어렵다.

공격자들은 Ivanti VPN 취약점을 악용하는 익스플로잇 도구도 보유하고 있었으며 맞춤형 Cobalt Strike 비콘을 개발해 사용했다. 이들이 사용한 일부 도구는 중국 APT그룹 UNC5221이 사용하는 것과 동일한 코드를 포함하고 있어 국가 간 해킹 그룹의 협력 가능성도 제기됐다.

보고서 작성자들은 공격자를 북한 Kimsuky그룹으로 판단했다. 시스템 로케일이 한국어로 설정돼 있고 평양 시간대(UTC+9) 기준 평일 오전 9시~오후 5시에 규칙적으로 작업했으며 과거 Kimsuky가 표적으로 삼았던 기관들과 동일하다는 점은 근거로 들었다.

그러나 국내 보안 전문가들은 중국 연계 가능성을 제기했다. 데이터 인텔린전스 기업 S2W와 고려대 정보보호대학원은 공격자가 Gitee.com, Baidu.com 등 중국 플랫폼을 빈번히 사용했고 구글 번역으로 한국어를 중국어로 번역한 흔적이 있으며 중국 단오절 연휴(5월 31일~6월 2일) 기간 작업을 중단했다는 점을 지적했다.

가장 설득력 있는 분석은 북한과 중국의 하이브리드 작전 모델이다. 북한 출신 해커가 중국 내에서 활동하면서 양국의 인프라와 자원을 활용하고 귀속 혼란을 일으켜 탐지와 대응을 어렵게 만든다는 것이다.

전문가들은 이번 사태가 한국 보안 체계의 여러 구조적 문제를 동시에 노출시켰다고 지적한다. 가장 우려되는 점은 공급망 공격에 대한 방어가 취약하다는 점으로 실제로 보안 솔루션 제공업체를 먼저 해킹한 뒤 고객사로 침투하는 전술에 속수무책으로 당했다.

GPKI 인증서 관리 체계의 허점도 드러났다. 공격자들은 ‘Troll Stealer’ 악성코드로 인증서를 수집한 뒤 자체 개발한 Java 프로그램으로 보호 패스워드를 무차별 대입 공격으로 해독했다. 이는 인증서 패스워드가 충분히 복잡하지 않았거나 관리가 소홀했음을 시사한다.

APT에 대한 탐지 능력이 부족하다는 점도 문제였다. 3년 이상 지속된 공격이 외부 보안 연구자들의 분석으로 드러났다는 것 자체가 국내 보안 모니터링 체계의 한계를 여실히 보여준다. 특히 전문가들은 정부가 스스로 만들어 놓은 정보보호 체계조차 제대로 준수하지 않은 것이 가장 큰 문제라고 비판했다.

김승주 고려대 정보보호대학원 교수는 “우리나라가 도입한 정보보호 체계는 해외에서 보안을 잘 하는 나라들의 것을 그대로 가져온 시스템이다. 동일한 시스템을 운영하고 있는 해외에서는 한국처럼 보안에 심각한 구멍이 뚫리지 않는다. 이는 보안 체계 자체에는 문제가 없다는 의미다. 결국 보안 체계를 운영하는 정부가 해야 할 것을 제대로 하지 않으니까 문제가 발생한다”고 말했다.

보안 전문가들은 무너진 국가 보안 체계를 재구축하기 위해 조직과 거버넌스 재구축을 서둘러야 한다고 조언한다. 국가 보안 기관을 대통령 직속 기관으로 격상하고 대통령이 국가 보안 사안에 대해 직접 보고를 받는 체계를 만들어야 한다는 것이다. 국내 정보보호 업무를 총괄하는 한국인터넷진흥원(KISA)의 전문성 강화도 필요하다.

ISMS와 ISMS-P 등 보안 인증에 대한 사후 관리도 중요하다. 외부 감사와 주무 기관의 감독 권한을 강화하고 주기적으로 인증 요건을 갖추고 있는지 점검한 후 규정에 맞지 않으면 인증을 회수하는 등의 조치가 요구된다. 인증을 취득한 기업에서 보안 사고가 발생할 경우에는 감독 기관에도 책임을 물어야 한다.

컨설팅 및 감리 전문회사 케이씨에이(KCA) 정보보호사업본부 기태현 이사는 “ISMS 인증 요구 사항 중에는 보안 책임자와 최고 경영자가 직접적인 보고 체계를 갖추도록 하고 있다. 그런데 정작 정부는 정보보호를 담당하는 기관인 KISA가 대통령에게 직접 보고하는 체계가 아니다. 국가 보안 체계를 재정비하기 위해서는 보안 관련 기관의 권한 강화부터 시작해야 한다”고 조언했다.

석주원 기자 stone@sporbiz.co.kr