지난 4월 2일 양재동 더케이호텔서울에서 800여 명의 정부, 공공, 금융, 교육, 기업 개인정보보호 담당자들이 대거 참석한 가운데 개최된 국내 최대 개인정보보호 컨퍼런스 G-Privacy 2015가 개최됐다. 이 자리에서 하우리 최상명(사진) 센터장은 ‘한수원 사이버공격 사고 분석’을 주제로 키노트 발표를 진행했다.
 
이 자리에서 최 센터장은 타임라인 기반으로 사건의 발단인 공격자가 한수원에 대량의 한글 문서가 포함된 이메일을 발송한 시점에서부터 총 6차례 절취한 자료 공개까지의 흐름을 상세하게 설명했다.
 
그리고 실제 한수원 공격에 사용된 악성코드 분석 내용을 공개하면서 해당 악성코드를 유포하기 위해 사용한 한글 취약점은 물론 악성코드가 수행하는 기능인 네트워크 공격, 파일 파괴, 하드 파괴 기능을 순차적으로 소개했다.
 
최 센터장은 “악성코드 분석을 토대로 한수원 악성코드와 동일한 악성코드를 사용하는 조직으로 북한의 ‘Kimsuky’ 조직을 식별할 수 있다”며 “사건의 배후인 Kimsuky 조직은 2010년부터 한국 주요 기관 및 연구 기관 등을 대상으로 정보수집을 위한 사이버첩보 활동을 수행해 왔다”고 설명했다.

 
한편 지난 3월 17일 합수단은 한수원 사이버 공격 사건에 대해 금전보다는 사회적 혼란 야기가 주목적인 북한 해커조직의 소행으로 잠정결론을 내린바 있으며 북한 해커조직의 "kimsuky(김수키)" 계열 악성코드를 그 증거로 들었다. 악성코드 구성 및 동작방식이 동일하고 악성코드 유포에 사용된 한글 취약점도 동일했다. 또 중국 선양 IP 대역들과 C클래스도 일치한 것으로 발표했다.

 
또 자료탈취, 이메일공격, 협박글 게시 루트로 도용한 국내 VPN 업체의 다른 접속 IP 중, 북한 IP 주소 25개, 북한 체신성 산하 통신회사 KPTC에 할당된 IP 주소 5개가 접속한 흔적이 발견됐다고 밝힌바 있다.
 
최 센터장은 kimsuky(김수키) 조직에 대해 “2011년부터 한국 주요 기관 및 연구 기관 등을 대상으로 정보수집을 위한 사이버첩보 활동을 전개해 온 조직”이라며 “타깃 대상은 국방, 외교, 통일, 안보 관련 정부 부처, 국방, 외교, 통일, 안보 관련 연구기관 전 현직 원장, 국방, 외교, 통일, 안보 관련 연구기관 연구원, 전 현직 외교관 및 해외 주제국 대사, 예비역 장성, 장관 후보자, 국방, 외교, 통일, 안보 관련 자문위원에 속한 교수, 탈북자 관련 단체 및 탈북자 등이다”라고 설명했다.
 
또 대응방안으로는 “이메일 피싱에 주의해야 하고 이메일 APT 공격 특히 한글 등 문서형 악성코드에 각별한 주의를 기울여야 한다”며 “개인 이메일에 기업 기밀 자료 보관을 금지하고 퇴직자 보안관리 및 협력업체 보안강화 및 관리에 더욱 신경을 써야 한다”고 강조했다.
 
G-Privacy 2015에서 하우리 최상명 센터장의 발표자료는 주최측인 데일리시큐 자료실에서 다운로드 가능하다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com