美 사이버공격 中 해커부대, 한국도 공격했다!

美 사이버공격 中 해커부대, 한국도 공격했다!

中 61398 해커부대, 우리나라 대상으로 사이버 공작 수행 확인돼 박근혜 정부 대중정책 영향...美-中 이어 韓-中 외교 분쟁 불씨 되나? 중국의 해커부대가 미국을 대상으로 대규모 사이버 공격을 감행한 것으로 드러나 미국과 중국 간에 긴장감이 고조되는 가운데 해당 부대가 한국을 타깃으로도 사이버 공작을 수행한 것으로 확인돼 큰 파장이 예상된다.  ▲ 중국 61398 해커부대가 국내를 대상으로 사용한 악성코드 증거 [출처 : 이슈메이커스랩] 미국의 컴퓨터 보안업체인 맨디언트(Mandiant) 사는 지난 19일 발표한 보고서를 통해 미국을 대상으로 한 대규모 사이버 공격의 근원지로 중국 상하이에 위치한 인민해방군 61398 해커부대를 지목했다. 해당 해커부대는 민간 대기업은 물론 전력, 가스, 수도 등 기반 시설과 정부전산망 등을 대상으로 사이버 공격을 감행한 것으로 알려졌다. 맨디언트 사가 밝힌 인민해방군 61398부대가 2006년부터 전 세계를 대상으로 사이버 공격에 사용한 악성코드는 총 49개 시리즈가 있는 것으로 분석됐다.   이렇듯 중국 해커부대가 사용한 이들 악성코드 시리즈 중에 일부가 한국을 타깃으로 한 공격에 사용된 정황이 국내 악성코드 추적 전문그룹인 이슈메이커스랩에 의해 확인된 것.   해당 악성코드를 추적한 이슈메이커스랩의 최상명 수석연구원은 “기존에 추적하고 있던 몇몇 악성코드 시리즈가 중국에서 제작된 것으로 추정하고 있던 차에 이번 중국 해커부대의 존재를 통해 해당 악성코드가 그들에 의해 제작된 것을 알게 됐다”며, “그들이 제작한 악성코드 일부가 2011년경 국내에 사용된 정황을 확인했다”고 말했다. 국내에 사용된 악성코드는 61398 해커부대가 제작한 49개 시리즈 중 하나로 전 세계 항공우주산업과 방위산업관련 기관 및 기업을 대상으로 한 공격에 사용됐다는 게 최 수석의 설명이다. 해당 악성코드는 주로 PDF 문서와 워드 문서의 취약점을 이용해 이메일 첨부파일로 전달되는 형태의 APT 공격에 활용됐으며, 우리나라에도 이메일의 PDF 문서 첨부파일로 사용됐다. 악성코드는 유포할 때마다 해당 악성코드를 식별하기 위한 코드를 개별적으로 악성코드에 삽입·관리하는데, 국내에 사용된 악성코드에서 한국 국가코드 등 국내를 대상으로 관리한 흔적이 발견됐다는 얘기다. 해당 악성코드는 웹을 통한 HTTP 프로토콜을 기반으로 C&C 서버와 통신을 하며, 통신 시 데이터는 스트림 암호를 사용해 암호화한 후, BASE64로 인코딩해 통신하는 것으로 분석됐다.  또한, 해당 악성코드는 OS 버전, 로그인된 사용자 정보, 하드디스크 용량 정보, CPU 정보 등의 시스템 정보를 전송하고, 추가 악성코드 다운로드 및 실행, 파일 수집 등 감염된 대상의 각종 정보를 수집하기 위한 목적으로 제작된 것으로 알려졌다.  이슈메이커스랩 최상명 수석연구원은 “중국 해커부대뿐만 아니라 북한 해커부대 등 다양한 국가의 지원을 받는 해커조직들이 국내를 대상으로 공격을 하고 있지만, 정작 이러한 내용들이 추적 및 관리가 되지 않아 공격을 당한 것만 알고 실제 누가 어떤 목적으로 공격을 하고 있는지, 어떤 곳들이 대상인지 제대로 식별되지 못하고 있다”며, “국가적인 차원에서 관련 데이터베이스를 구축·식별할 수 있는 체계를 갖추고, 조직을 운영해 민·관·군에서 함께 정보를 공유하는 것이 절실히 필요한 시점”이라고 강조했다. 이렇듯 중국 해커부대가 우리나라까지 공격대상으로 삼은 것이 확인됨에 따라 25일 공식 출범하는 박근혜 정부의 향후 대중국 정책에도 적지 않은 영향을 미칠 것으로 보인다.