주간동아 1272

2021.01.08

대학 정보 노렸던 北 연계 해킹조직 ‘탈륨’, 다중 서버 통해 추적 회피

  • reporterImage

    최진렬 기자

    display@donga.com

    입력2021-01-06 13:48:11

  • 글자크기 설정 닫기
    북한 연계 해킹조직이 주식과 코로나 의약품 정보에까지 해킹을 시도한 정황이 포착됐다. 안보 및 외교 분야를 중심으로 해킹활동을 벌이던 북한 연계 해킹조직이 활동 반경을 넓힌 만큼 관련 종사자의 각별한 주의가 요구된다. 

    3일 국내 컴퓨터 보안업체인 이스트시큐리티는 악성코드 분석 리포트를 통해 북한 연계 해킹조직 탈륨이 국내 주식 투자 메신저에 공급망 공격을 한 정황을 공개했다. 탈륨은 작년 국내외의 코로나19 백신·치료제 개발업체를 겨냥한 해킹활동을 꾸준히 벌여왔다. 보안업계는 지난해 11월 KAIST 발생한 개인정보 3만 건 유출사건 역시 탈륨의 소행이라 본다. 카이스트 관계자는 5일 “현재 조사가 진행 중이다. 다만 이름과 포털 아이디, 부서와 사번 등의 개인정보는 유출됐으나 연구 내용에 대한 부분은 없었다”고 말했다.

    코로나19와 주식으로 손 뻗은 북한 해커

    2015년 3월 17일 서울 서초동 서울고등검찰청 기자실에서 최윤수 당시 제3차장 검사가 ‘원전 자료 유출’ 관련 브리핑을 진행하고 있다. 김수키 또는 탈륨으로 지칭되는 북한 해커조직이 해킹을 했다. [뉴스1]

    2015년 3월 17일 서울 서초동 서울고등검찰청 기자실에서 최윤수 당시 제3차장 검사가 ‘원전 자료 유출’ 관련 브리핑을 진행하고 있다. 김수키 또는 탈륨으로 지칭되는 북한 해커조직이 해킹을 했다. [뉴스1]

    탈륨은 마이크로소프트가 2019년 12월 회원 정보를 탈취한 해킹조직을 미 버지니아 주 연방법원에 고소하면서 붙인 이름이다. 보안 전문가들은 사용 도메인과 인터넷주소(IP주소), 코드 작성 방식을 볼 때 탈륨이 북한 정부와 연계됐을 것이라 추정하고 있다. 탈륨은 국내외를 막론하며 해킹을 해왔다. 2014년 한국수력원자력을 해킹해 원전 도면을 빼돌린 ‘김수키(kimsuky)’ 역시 동일 조직으로도 추정된다. 

    주로 사용하는 해킹 방식은 스피어피싱과 공급망 공격. 스피어피싱은 표적 집단을 대상으로 한 해킹이다. 특정 메일을 겨냥해 악성코드를 심은 파일을 보내는 것이 대표적 예다. 탈륨은 지난해 통일부 북한인권기록센터를 사칭해 대북 단체에 스피어피싱을 벌였다. 공급망 공격은 소프트웨어 납품업체를 해킹해 이들과 계약한 기업 등을 2차적으로 해킹하는 방식이다. 납품업체의 보안 수준이 상대적으로 낮다는 점을 악용한 방법이다. 납품 경로에 따라 해킹이 이루어지기 때문에 그 파급력도 크다. 1월 3일 발견된 국내 주식 투자 메신저 해킹도 이 방식으로 진행됐다. 

    탈륨은 작년 이 같은 해킹 기법을 통해 국내 주식 및 코로나 관련 의약품 개발 업체에서 해킹을 시도했다. 그간 방위산업체나 대북·외교 분야를 중심으로 활동했는데 지난해 행동반경을 넓힌 것이다. 특히 코로나19와 관련해 활발한 해킹활동을 벌여왔다. 국내에서는 코로나19 백신을 개발 중인 제넥신과 치료제를 개발 중인 신풍제약 등이 공격 표적이 됐다. 



    이스트시큐리티는 지난해 11월 발표한 악성코드 분석 리포트를 통해 탈륨이 해킹에 활용한 도메인과 IP주소를 공개했다. 이에 따르면 탈륨은 ‘genexine.member-info[.]net’ ‘shinpoong.accountcheck[.]net’과 같이 제넥신 및 신풍제약 사이트와 인터페이스 및 주소가 유사한 사이트를 만들었다. 가짜 사이트에 속아 업계 관계자가 개인정보를 입력하면 이를 이용해 해킹하는 방식으로 추정된다. 탈륨은 같은 방식으로 지난해 12월 22일 연세대의료원 임직원들이 접속하는 그룹웨어를 본 딴 사이트를 개설하기도 했다. 연세대의료원은 2019년 5월 경남바이오파마, 리퓨어생명과학 등과 코로나19 치료제 공동 협약 연구를 체결했다.

    비트코인, 다중 해킹 활용해 추적 어려워

    이스트시큐리티의 리포트에는 탈륨이 글로벌 제약사 아스트라제네카와 존슨앤드존슨을 겨냥해 해킹을 시도한 흔적도 공개됐다. 아스트라제네카와 존슨앤드존슨의 계열사 얀센은 코로나19 백신 임상 3상을 진행 중이다. 

    보안업계는 코로나19로 외화벌이가 위축된 북한해커들이 본국과 제3국에서 첨단정보 빼가기에 열을 올리고 있다고 말했다. 한 보안업체 관계자는 “외화벌이를 목적으로 제3국에 파견된 북한 해커들이 코로나19 때문에 여럿 북한으로 송환 명령을 받은 사실이 알려진 바 있다”며 “이들 해커조직이 작년 코로나19와 주식 시장에 대한 관심을 이용해 관련 업계를 대상으로 해킹을 시도하고 있다. 다행히 아직까지 별다른 피해가 보고 되지 않았다”고 전했다. 

    다만 탈륨의 해킹 수법이 나날이 고도화되는 만큼 주의를 촉구하는 목소리가 나온다. 인터넷 공간에 좀처럼 흔적을 남기지 않는 탈륨의 해킹 수법도 주의를 요하는 요소다. 해외 서버를 여럿 거친 후 해킹을 시도하고, 이 경우에도 국내 서버를 해킹한 후 해당 서버를 다시 해킹에 이용한다. 가상사설망을 이용할 경우 비트코인으로 이용료를 지불해 추적을 피한다. 

    유동열 자유민주연구원 원장은 “국정원에 따르면 공공망에서만 하루 평균 150만 건의 사이버 공격 시도가 탐지된다. 북한과 중국에서 주로 해킹을 시도하며 이때도 북한 해커가 중국 서버를 경유하는 경우가 많다”며 “카이스트와 제약사 해킹의 경우 외화벌이보다는 첨단 정보를 빼가려는 목적이 커 보인다. 아직까지 이들 활동이 성공했다는 소식은 들리지 않는다. 하지만 언제든지 비슷한 일이 벌어질 수 있는 만큼 각별한 주의가 요구된다”고 말했다.



    최진렬 기자

    최진렬 기자

    안녕하세요. 주간동아 최진렬 기자입니다. 산업계 이슈를 취재하고 있습니다.

    4등으로 탈락한 ‘대장동 변호사’ 부활시켜 공천한 민주당

    ‘계양을 작전서운동’에서 명룡대전 정면 승부

    댓글 0
    닫기