탈북자모임사이트 등 5곳 침투…접속자에 악성코드 설치보안 전문가 “어도비 플래시 업데이트 필수”

북한 소속으로 추정되는 해커가 이탈리아 보안업체 해킹팀에서 유출된 기술을 활용해 최근 국내 인터넷망에서 악성코드를 유포 중인 것으로 파악됐다.

22일 보안업체 하우리에 따르면 지난 8일부터 최근까지 해커가 탈북자 모임 사이트, 북한 연구자 사이트 등 북한 관련 웹사이트 5곳에 침투해 장악했다.

이어 해당 사이트에 접속하는 이용자의 PC에 자동으로 악성코드를 설치하도록 했다.

해커는 이렇게 악성코드에 감염된 PC에서 중요 정보를 탈취하는 것으로 알려졌다. 정확한 피해 규모는 확인되지 않았다.

이번에 사용된 악성코드는 기존에 북한 해커가 주로 썼던 것과 동일하다. 이 때문에 전문가들은 이번 공격 역시 북한의 소행일 개연성이 크다고 보고 있다.

해커는 이용자의 PC에 악성코드를 심는 과정에서 해킹팀의 유출 자료에서 입수한 어도비 플래시 플레이어의 취약점 2개(고유번호 CVE-2015-5119, CVE-2015-5122)를 활용했다.

취약점이란 PC나 스마트폰에서 개발자도 모르게 방치돼 있어 비정상적인 접근이 가능한 숨은 영역을 뜻한다.

어도비 플래시 플레이어는 웹사이트에서 동영상이나 오디오 같은 멀티미디어를 볼 수 있게 하는 대표적 소프트웨어(SW)로 거의 모든 PC에 깔려 있다.

어도비의 취약점을 활용하면 수상한 이메일이나 문자메시지 URL을 클릭하지 않더라도 단순히 웹사이트에 접속하는 것만으로 악성코드에 감염된다. 이 때문에 해당 취약점이 공개됐을 때 각종 사이버 공격에 손쉽게 악용될 것이라는 우려가 나온 바 있다.

하우리 최상명 CERT실장은 “해커가 해킹팀 유출 사고 이전에는 이전부터 써왔던 취약점을 이용했다가 사고 이후부터는 새롭게 알려진 어도비의 취약점을 활용하기 시작했다”고 말했다.

최 실장은 “어도비의 취약점은 값을 매기면 1억5천만원에 달하는 고급 기술”이라며 “해킹팀 유출 사고로 북한 해커가 이런 기술을 활용할 수 있게 됐으니 당연히 공격 수준도 한 단계 높아졌을 것”이라고 설명했다.

이번 해킹 외에도 어도비의 취약점을 악용한 랜섬웨어가 이미 국내에서 유포 중인 것으로 확인됐다. 랜섬웨어는 이용자의 중요 자료나 개인정보를 암호화하고 이를 복구하는 조건으로 돈을 요구하는 유형의 악성코드다.

최 실장은 “이와 같은 피해를 막으려면 무엇보다 이용자가 어도비 플래시 플레이어의 보안 업데이트 패치를 하는 일이 중요하다”고 당부했다. 어도비는 해킹팀 유출 사고 이후 보안 취약점에 대응하는 긴급 패치를 내놓은 바 있다.

연합뉴스