국정원은 해커들이 A사를 노린 배경을 의심했다. 보안 사각지대인 주차관리 대행업체를 해킹해 공공기관 내부망에 침투할 목적으로 공격에 나선 것으로 본 것이다. 국정원 관계자는 9일 “조기에 발견해 큰 피해는 발생하지 않았으나 많은 사용자가 이용 중인 소프트웨어가 공급망 공격에 악용될 경우 심각한 피해가 우려된다”고 말했다.
지난해 말 미국의 IT인프라 관리 기업 솔라윈즈에 대한 공급망 공격이 대표적이다. 외신은 미 재무부, 국무부, 국토안보부, 국립보건원 등을 비롯해 핵무기를 담당하고 있는 에너지부와 국가핵안보실(NNSA)도 해킹당했다고 보도했다. 국내에선 지난 2011년 북한의 해킹 공격으로 농협 전산망이 마비된 사례가 있었다.
국정원은 A사에 대한 해킹 주체로 북한을 특정하진 않았다. 그러나 국내 보안업계에 따르면 지난해 5월 국내에서 발생한 위즈베라의 보안 프로그램 ‘베라포트’에 대한 해킹 공격은 북한의 해커조직 ‘라자루스(Lazarus)’가 배후에 있는 것으로 분석된다. 한국은 인터넷 뱅킹이나 정부 웹사이트를 방문할 때 추가적인 보안 소프트웨어를 설치해야 하는 경우가 많다. 이를 통합 설치하도록 돕는 프로그램이 베라포트다. 라자루스 외에도 김수키(Kimsuky), 금성121(Geumseong121), 코니(Konni) 등이 북한 정부의 지원을 받는 해커 조직으로 알려져 있다.
구글의 보안팀인 위기분석그룹 TAG(Google Threat Analysis Group)도 지난달 26일(현지시간) “해외 사이버보안 연구자들에 대한 북한 해커들의 공격이 확대되고 있다”고 밝혔다. 구글은 트위터, 링크드인, 텔레그램 등 다양한 소셜네트워크서비스(SNS)에서 가짜 개인 정보를 이용해 보안 연구원들에게 접근한 사례가 발견됐다고 보고했다.
공급망 해킹은 정상적인 소프트웨어 업데이트 파일에 악성코드를 심는 식이어서 탐지하기가 매우 어려운 편이다. 보안기업 이스트시큐리티의 문종현 시큐리티 대응센터장은 “공급망 공격은 정상 프로그램 기능이 무력화되고 악성 기능이 작동되는 게 아니라, 원래 프로그램 기능은 다 작동하면서 악성코드가 활동하는 것”이라며 “따라서 탐지도 어렵고, 분석도 어렵다”고 말했다.
위문희 기자 moonbright@joongang.co.kr
▶ 네이버 구독 첫 500만 중앙일보 받아보세요
▶ 넌 뉴스를 찾아봐? 난 뉴스가 찾아와!
▶ 삼천피에 찬물? 공매도 재개, 당신 생각은
ⓒ중앙일보(https://joongang.co.kr), 무단 전재 및 재배포 금지