[타임뉴스] 김용직기자 = 가정보원과 검찰청, 경찰청, 국군방첩사령부, 사이버작전사령부가 참가하는 '사이버안보 정보공동체'는 5일 합동 보안권고문을 내고 국내 건설·기계 분야를 겨냥한 북한 해킹조직의 기술 절취 가능성에 대한 주의를 당부했다.

국가사이버안보센터에 따르면 사이버 정보공동체는 이날 권고문을 통해 "건설·기계 단체 및 지자체 공무원 대상 해킹 공격이 전년 대비 급증한 것을 확인했다"며 "북한이 무단 절취한 우리나라의 건설·기계 및 도시건설 분야 자료들을 공업공장 건설과 지방발전 계획에 사용할 것으로 추정한다"고 밝혔다.

이어 "북한 정찰총국 산하 김수키 및 안다리엘 해킹조직이 같은 시기에 동일한 정책적 목적을 달성하기 위해 특정 분야를 집중 공격하는 것은 이례적"이라며 철저한 대비가 필요하다고 강조했다.

권고문에 따르면 북한 해킹조직 김수키는 올해 1월 우리나라 건설 분야의 한 직능단체 홈페이지를 통해 악성코드를 유포했다.

악성코드는 홈페이지 로그인에 사용되는 보안 인증 소프트웨어에 은닉됐고 이로 인해 홈페이지에 접속한 지자체, 공공기관, 건설기업의 관련 업무 담당자 PC가 감염됐다.

사이버 정보공동체는 "김수키 해킹조직은 유효한 디지털 인증서를 사전에 절취한 뒤 변조된 소프트웨어 파일에 서명하고 정상 보안인증 소프트웨어와 함께 유포하는 등 치밀한 준비 작업을 거쳤다"며 북한이 건설 분야 공직자 해킹을 교두보로 삼아 주요 건설사업 정보와 사업에 참여한 건설기업의 기술 자료 절취를 시도한 것으로 추정했다.

또 지난 4월 북한의 또 다른 해킹조직 안다리엘은 국내 정보보안 소프트웨어에 대한 취약점을 악용해 업데이트 파일을 악성코드로 교체·실행하는 수법을 통해 건설·기계업체 등에 원격제어 악성코드(DoraRAT)를 유포한 것으로 파악됐다.

공격에 사용된 원격제어 악성코드는 파일 업·다운로드, 명령 실행 등 단순하고 경량화된 형태로 만들어졌으며 감염 PC에서 대용·다량의 파일 절취가 가능한 '파일절취형 악성코드'도 확인됐다.

사이버 정보공동체는 북한의 해킹 사례는 개인 부주의가 아니라 홈페이지와 정보보안 소프트웨어의 취약점으로 인해 발생했다며 "북한 해킹조직은 서비스·제품에 대한 취약점을 지속해서 노릴 것으로 전망되는 만큼 조직 구성원과 IT(정보기술)·보안 담당자의 피해 완화 노력이 중요하다"고 밝혔다.