인증서 빼내 악성프로그램 제작·유포…“전산망 마비로 혼란 의도 추정”

북한 해킹조직이 국내 금융 정보 보안업체의 PC를 해킹해 전자인증서를 빼내고, 이를 이용해 악성 프로그램을 만들어 유포한 사실이 수사에서 드러났다.

개인정보범죄 정부합동수사단(단장 손영배 부장검사)은 북한 해킹조직이 국내 금융정보 보안업체 I사의 전자인증서를 탈취해 ‘코드서명’을 위조한 뒤 악성 프로그램을 만들어 유포한 것으로 확인됐다고 31일 밝혔다.

코드서명은 컴퓨터에 프로그램을 설치하기 전에 해당 프로그램이 신뢰할 수 있다는 점을 확인하는 수단이다. 정당한 제작자가 만들었고, 위·변조되지 않았음을 증명하는 ‘디지털 도장’ 역할을 한다.

특정 기업의 코드서명이 적용되면 사용자가 프로그램을 설치할 때 해당 기업에서 배포하는 정상적인 프로그램이라는 점을 확인하는 메시지를 볼 수 있다.

올해 2월 한 백신업체가 I사 코드서명이 탑재된 악성 프로그램을 발견한 것을 계기로 수사를 진행한 합수단은 관련 자료 정밀 분석과 관계자 조사 등을 통해 유포 경로를 확인했다.

자료는 I사 서버와 PC 70여대, 악성 프로그램 유포 경로가 된 서버, 악성 프로그램이 설치된 PC를 제어하고 명령을 내리는 서버, 이메일 등 총 12TB에 달했다.

수사 결과 북한 해킹조직은 지난해 11월께 금융보안 전문업체인 I사의 전산 서버를 해킹하고, 내부자료를 빼낼 수 있는 악성 프로그램을 설치한 것으로 조사됐다.

해당 서버에 접속한 I사 직원 PC에 이 악성프로그램이 설치돼 I사의 전자인증서가 유출됐고, 해킹조직은 이를 이용해 I사의 코드서명을 탑재한 악성 프로그램을 만들었다.

I사의 정상적인 프로그램인 것처럼 가장한 이 프로그램은 한 학술단체의 홈페이지 운영 서버에 설치됐고, 자료 검색 등을 위해 이 서버에 접속한 국세청, 국토교통부, 서울시청, 경기도청 등 10개 기관 PC 19대에 유포됐다.

이 프로그램은 저장된 정보를 탈취하거나 다른 악성 프로그램이 추가로 설치될 수 있게 하는 기능을 포함했다.

합수단은 I사 서버가 악성 프로그램에 최초 감염된 지난해 11월 말부터 올해 1월 말 사이 북한 소재 고정 IP가 해당 서버에 26회 접속한 점 등을 바탕으로 북한 해킹조직의 소행이라고 판단했다.

I사 직원 사내 이메일로 악성 프로그램을 탑재한 ‘남북통일에 대함’이라는 제목의 이메일이 발송됐고, 유포된 악성 프로그램 명령·제어 서버 도메인(dprk.hdskip.com)도 북한과 관련이 있었다.

합수단 관계자는 “대형은행 등에 보안솔루션을 제공하는 I사의 정상 프로그램인 것처럼 가장해 유포함으로써 국내 주요 전산망에 대한 침입·마비 등으로 사회 혼란 야기를 시도한 사이버테러로 추정된다”고 설명했다.

합수단은 국정원, 한국인터넷진흥원, 금융보안원 등 유관기관과 협의해 전자인증서를 무효화하고, 악성프로그램에 감염된 PC를 전수조사해 삭제하는 등 대응했다. 공공기관 내부정보 유출 등 추가 피해는 발생하지 않은 것으로 확인됐다.

이런 사이버 범죄에 대응하고자 대검찰청과 금융보안원은 이날 ‘사이버범죄 수사 및 금융권 침해사고 대응 역량 강화’를 위한 업무협약(MOU)을 체결한다.

양측은 분기별 정기 업무 협의회를 열고, 금융권 사이버 범죄에 공동 대응할 방침이다.

연합뉴스