법원도 터는 ‘북한 해킹’, “지금도 진행 중” [탈탈털털]

■ 법원 전산망까지 북한 해커의 '먹잇감'

지난 11일, '법원 전산망 해킹 사건'과 관련해 경찰이 결과를 발표했습니다. 경찰청 국가수사본부는 1,014GB의 법원 자료가 전산망 외부로 전송됐다고 밝혔습니다. 북한 해킹 그룹 '라자루스'가 2년 넘게 법원 전산망에서 정보를 빼간 겁니다. 법원 내부의 허술한 보안 관리는 물론, 해킹 피해 사실을 알면서도 수사를 의뢰할 때까지 '늦장 대응'을 했고, 유출된 정보가 무엇인지조차 파악하지 못해 비판을 받고 있습니다.

법원 전산망에는 각종 재판과 재판의 증거기록, 속기록 등 광범위한 정보가 총망라돼 있습니다. 이름과 주민등록번호는 물론 가족관계증명서, 여권 정보, 금융 정보에다 외부에 밝히기 어려운 내밀한 정보도 있습니다. 거의 모든 개인 정보의 총합이 법원 전산망 정보입니다. 이처럼, 북한 해킹 조직은 다양한 2차 범죄에 활용할 수 있는 신뢰할만한 정보가 있는 공공기관을 노리고 있습니다.

■ 북한 사이버 공격 '진행형' … 수사 발표 날에도 '여전'

그런데 수사 결과가 발표된 11일에도 북한의 사이버 공격이 있었단 사실이 확인됐습니다. 연관 기사
경찰, 국정원 등 기관과 여론이 모두 북한 해킹 조직에 집중된 상황에서도 공격은 계속됐던 겁니다. 이달 1일에 500건이 넘는 공격이 있었던 것과 비교하면 다소 주춤했지만, 북한의 공격은 멈추지 않았습니다. 아래는 KBS가 보안업체 '로그프레소'와 북한 주요 해킹 그룹(김수키, 라자루스, ATP37)의 해킹 공격 지수를 분석한 결과입니다.




북한 해킹 공격 현황을 설명하고 있는 보안업체 ‘로그프레소’ 양봉열 대표

지난 1년 동안 확인된 공격이 만 3천 건을 넘습니다. 한 달에 2천 건 넘게 공격이 이뤄지기도 했습니다. 보안 전문가들은 북한이 과거에는 기관을 직접 공격했지만, 최근엔 보안이 취약한 개인을 공략하고 있다고 말했습니다.


'피싱 사이트'를 활용한 악성코드 살포가 주요 수법입니다. 보안업체 '로그프레소' 양봉열 대표는 "세무 신고 관련처럼 공공기관이나 주요 포털 사이트 등과 비슷한 도메인을 가진 사이트를 만들고 클릭하게 한 뒤 개인정보를 빼간다"고 말했습니다.

사이트로 유인하는 방법은 이메일이었습니다. 양 대표는 " '계정이 완료됐으니 업데이트 요망' 이나 '보안정책 위반해 소명 필요' 등 공식 문서나 중요 정보가 담긴 것처럼 내용을 만들어 자연스럽게 사이트 주소를 클릭하게 한다"고 설명했습니다.

1년 간 공격 건수가 가장 많은 건 '김수키'입니다. 해킹 그룹마다 업무가 정해져 있다고 합니다. APT37의 경우 북한 인권단체 등을 해킹해 북한 이탈 주민에 대한 정보 수집에 특화된 것으로 알려져 있습니다. '라자루스'는 악성코드로 PC 등을 감염시킨 뒤 이를 통해 '외화벌이'하는 데 집중하고 '김수키'는 주로 외교 분야 정보를 수집한다고 전해집니다.


양봉열 대표는 "해커조직이 만든 피싱 사이트에는 당연히 악성코드가 포함돼있지만, 백신 등에서 탐지하기 어려운 경우도 있다"며 주의를 당부했습니다.

해킹 조직의 목적은 쓸모 있는 개인 정보와 공공기관 내부망으로 침투할 수 있는 통로 확보입니다. 양 대표는 "이용자들이 보통 한 사이트에서 사용하는 비밀번호를 다른 사이트에서도 돌려 쓰는 경우가 많아서 이를 활용해 개인정보를 탈취하고, 기업이나 공공기관 내부망까지 접속할 수 있다"며 "모든 보안의 길목에 두 개, 세 개의 인증 절차를 설정하는 게 필요하다"고 강조했습니다.

기사 원문 보기

둘러보기

더보기

로그프레소-WhoisXML API, 사이버 위협 탐지 분야 협력...공동 시장 확대

클라우드 SIEM 전문기업 로그프레소(대표 양봉열)가 사이버 인텔리전스 분야의 글로벌 기업 WhoisXML API와 사이버 위협 탐지 분야에서 협력을 약속하고 공동으로 시장 공략에 나선다고 7일 밝혔다.<br> <br> <center><img src = "/media/ko/2024-06-25-wxa/image.jpg" width = 700></center> <center>좌측부터 양봉열 로그프레소 대표, 조나단 장(Jonathan Zhang) WhoisXML API 대표</center> <br> 로그프레소는 CTI(Cyber Threat Intelligence) 서비스에 WhoisXML API가 제공하는 위협 도메인 데이터 피드를 적용할 예정이다. 양사는 피싱 도메인에 대한 탐지와 브랜드 보호 서비스 분야에서 협업을 진행하며 양사 간의 기술과 정보를 교류해 동반 성장을 추진한다. WhoisXML API는 2010년 설립된 사이버 인텔리전스 데이터를 제공하는 기업으로 미국 캘리포니아에 본사를 두고 있다. MSSP(관리형 보안 서비스 제공업체), SOC(보안 운영 센터), 포춘 1000대 기업, 정부 기관 등에 도메인, IP, DNS 인텔리전스와 관련 모니터링 도구를 공급하며 글로벌 No.1 기업으로 인정받았다. 특히 WhoisXML API가 제공하는 데이터 피드는 SIEM(보안 정보 및 이벤트 관리), SOAR(보안 오케스트레이션 및 자동화 솔루션), ASM(공격 표면 관리) 등의 보안 플랫폼의 기능을 더욱 증대시키고 TDR(위협 탐지 및 대응), TPRM(써드파티 위험성 관리), IAM(사용자 ID 및 액세스 관리) 및 기타 사이버 보안 프로세스를 구축하는데 기여하고 있다. 이번 협력으로 로그프레소 고객은 로그프레소 스토어에서 WhoisXML API의 앱을 다운로드 받아 설치할 수 있게 됐다. 도메인 이력정보, DNS 이력정보 등 다양한 피드를 즉각 활용해 최신 사이버 위협을 탐지할 수 있다. 한국에서 WhoisXML API 피드를 구매한 고객은 로그프레소에서 전문적인 기술 지원을 받게 된다. <center><img src = "/media/ko/2024-06-25-wxa/image2.png" width = 700></center> <center>로그프레소 스토어에서 제공하고 있는 WhoisXML API 앱</center> <br> 조나단 장 WhoisXML API 대표는 "로그프레소는 혁신적인 보안 운영 플랫폼 벤더로 글로벌 시장에서도 인정받고 있다"며 "이번 협력은 두 기업의 역량을 모아 진화하는 사이버 공격으로부터 조직의 정보자산을 효과적으로 보호할 수 있는 데이터 제공의 기회가 될 것이다"라고 밝혔다. 양봉열 로그프레소 대표는 “WhoisXML API는 도메인과 DNS, IP 등 인터넷 인프라에 특화된 인텔리전스를 제공하는 최고의 기업”이라며 “양사의 협업으로 고도화되는 사이버 위협을 신속하게 탐지하고 대응할 수 있는 다양한 해결 방안을 제시할 것”이라고 전했다. 로그프레소와 WhoisXML API는 급속도로 변화하는 ICT 환경과 고도화되는 보안 위협에서도 지능적으로 해결할 수 있는 방안을 마련하는 한편, 고객의 정보 자산을 보호하고 안전하게 사업을 영위할 수 있도록 적극 지원할 계획이다. <br> <br> [기사 원문 보기](https://www.dailysecu.com/news/articleView.html?idxno=156614)<br> [WhoisXML API 앱 확인하기](https://logpresso.store/ko/apps/whoisxmlapi)

2024-06-25