北 해킹조직, 국내 반도체 장비업체 대상 ‘해킹’…설계도면·현장사진 등 탈취
인터넷에 연결된 서버 취약점 노리고 집중 타깃…서버내 설치된 정상프로그램 악용
국정원, 피해 업체에 사실 통보 및 보안대책 수립 지원…주요 업체에도 위협정보 제공

[보안뉴스 김경애 기자] 국내 반도체 장비업체를 노린 북한의 사이버 공격이 포착되고 있어 반도체 기업 및 관련기관의 주의가 요구된다.

北 , 국내 반도체 기업 해킹으로 설계도면과 현장사진 훔쳐갔다

[이미지 = gettyimagesbank]

국가정보원(이하 국정원) 측은 “지난해 하반기부터 최근까지 북한이 사이버 공격에 집중하고 있는 사실을 포착했다”며 주의를 당부했다.

북한 해킹조직은 서버가 인터넷에 연결되어 취약점이 노출된 업체들을 공략했다. 문서 등 자료관리에 사용되는 해당 업체의 업무용 서버들이 해커의 표적이 되었다.

이들은 ‘악성코드’ 사용을 최소화하고, 서버 내 설치된 정상 프로그램을 활용하여 공격하는 ‘LotL(Living off the Land)’ 기법을 주로 구사했다. 이 방식은 공격자가 눈에 잘 띄지 않아 보안 도구로도 탐지가 쉽지 않다.

이와 관련 스텔스모어 인텔리전스 최상명 CTO는 “북한 해커조직들은 2018년경부터 ‘LOTL(Living Off The Land)’ 기법을 조금씩 사용하기 시작했으며, 최근 들어서는 공격들 중 상당수가 이 기법을 통해 감행되고 있다”며 “기존의 악성코드 공격과는 다르게 파일을 사용하지 않거나 정상 프로그램들을 활용하기 때문에 탐지가 매우 어려운 점이 골치”라고 밝혔다.

이어 최상명 CTO는 “이에 피해를 입는 조직들이 많아지자 올해 2월에는 미국 정부와 영국 정부 등에서 LOTL 공격 기법에 대응하기 위한 권고문을 발표했다”며 “이를 참고하여 조직 내 보안을 강화해야 한다”고 권장했다.

지난해 12월 A사와 올해 2월 B사는 각각 형상관리 서버와 보안정책 서버를 해킹당해 제품 설계도면과 설비 현장사진 등이 탈취됐다. 특히 반도체 설계도면과 현장사진이 탈취됐다는 점에서 북한이 반도체 자체 생산을 염두에 두고 탈취했을 가능성에도 관심이 모아지고 있다.

국정원도 이러한 해킹 동향과 관련, 북한이 대북제재로 인한 반도체 조달 어려움과 위성·미사일 등 무기 개발에 따른 수요 증가로 반도체 자체 생산 준비에 나섰을 가능성이 있다고 보고 있다.

국정원 관계자는 “대북재제로 인한 북한의 어려움이 지속되면서 반도체 수급의 어려움이 있었을 것으로 보인다”며 “반도체 자체 생산 가능성도 있을 수 있다”고 말했다.

이에 따라 국정원은 해킹 피해업체에 관련 사실을 통보하고 보안대책 수립을 지원했다. 또한 추가 피해 방지를 위해 국내 주요 반도체 업체에도 위협정보를 제공해 자체 보안점검을 강화하도록 조치했다.

국정원 관계자는 “인터넷 노출 서버 대상 보안 업데이트와 접근 제어를 실시하고, 정기적인 관리자 인증강화 등 계정관리에 만전을 기해야 한다”고 당부했다.

이와 함께 최근 북한의 사이버 공격은 ‘컴파일된 HTML 도움말 파일(.chm)’과 ‘바로가기(.lnk)’를 이용한 공격도 탐지되고 있다. 따라서 기업과 기관은 이러한 보안위협에 대한 철저한 대비가 요구된다.

익명을 요청한 보안전문가는 “최근 북한의 사이버공격 양상을 보면 기존의 워드파일을 이용한 공격은 많이 알려져 감소 추세인 반면, 상대적으로 덜 알려진 공격 수법인 ‘컴파일된 HTML 도움말 파일(.chm)’과 ‘바로가기(.lnk)’를 많이 이용하고 있다”며 “이러한 파일 형식을 악용한 공격에 대응해 EDR 솔루션 탐지 등으로 보안을 강화할 것”을 당부했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>