공무원 '한글파일 이메일'…알고보니 '해킹폭탄'

12월과 1월 연이어 공격…미래부 "北 해킹" 추정

[아시아경제 김영식 기자] 지난해 12월16일, 통일부와 외교부 산하 공공기관에 근무하는 한 관계자는 통일연구원이 주최하는 '신뢰와 평화, 희망의 DMZ세계평화공원' 학술회의 초대장 이메일을 받았다. 전성훈 통일연구원장 명의로 온 이메일은 받는 사람의 이름까지 명시해 놓았고 실제로 행사가 지난달 19일 서울 플라자호텔에서 열렸다. 그러나 이는 정체불명의 누군가가 초청장의 '한글' 문서파일을 빼돌려 악성코드를 심은 뒤 뿌린 '해킹 메일'로 드러났다. 분석 결과 이 악성코드는 컴퓨터 정보와 키보드 입력 정보를 해외로 전송하는 기능을 갖고 있었다. 관계자는 "뒤늦게야 해킹이었다는 사실을 전해 듣고 놀랄 수밖에 없었다"고 말했다.

같은 날 국내 항공ㆍ우주분야 연구기관 관계자에게는 '印 ICBM 로켓과 韓 우주항공기술.hwp'라는 제목의 이메일이 언론사 기자를 사칭해 뿌려졌다. 이 역시 해외로 관련 분야 연구기밀을 빼내는 악성코드가 삽입된 표적 공격으로 판명됐다. 이달 초에는 통일부 정책총괄과 공무원이 보낸 것처럼 꾸며 '대북정책 추진방향에 대한 설문안' 파일을 첨부한 이메일이 발송되기도 했다. 여기에는 악성코드가 없는 것으로 판명됐지만 이후 답변이나 추가 설문을 통해 악성코드를 숨기려는 의도가 깔린 것으로 당국은 분석하고 있다.

16일 보안업계와 미래창조과학부에 따르면 악성코드가 담겨진 한글 문서 파일을 이메일로 배포하면서 해킹을 시도하는 사례가 잇따르고 있다. 특히 한글은 정부 공공기관에서 가장 널리 이용되는 워드프로세서 프로그램이어서 정부의 주요 정부가 해킹당할 위험도 그만큼 높아진 것이다. 보안업계 관계자는 "최근 이어지는 공격의 배후를 추정하긴 어렵지만 자칫 해킹이 될 경우 정부의 중요한 정보들이 외부로 유출된다는 점에서 매우 우려된다"고 말했다.

최근의 공격 수법은 '문서명.HWP' 확장자 형식인 한글 파일의 보안 취약점을 이용해 파일 안에 악성코드를 숨겨 넣은 뒤 이메일에 첨부해 유포하는 것이다. 이 한글파일을 열어볼 때 악성코드가 실행되면서 PC에 설치되고, 악성코드에 감염된 PC는 해커에 통제권이 넘어가 중요한 정보가 유출되는 등 피해를 낳는다. 작년 3월과 6월 발생한 사이버공격 사례처럼 악성코드가 다수의 PC를 감염시킨 뒤 원격 제어를 통해 동시다발적인 공격에 이용될 수도 있다.

미래부 관계자는 "북한 해킹조직의 공격 양상이 지난해 '6ㆍ25 사이버공격' 이후 새로운 형태를 보이고 있다"면서 "일련의 해킹 시도도 정부부처 등 중요 기관에 대한 우회침투 경로를 개척하려는 의도로 보인다"고 분석했다.

하지만 해킹 공격이 더욱 지능화되면서 대처가 쉽지 않다. 사이버공간에서 해킹으로 의심되는 활동은 매주 1000~2000건에 이르며, 이 중 북한의 해킹 시도도 상당수 포함된 것으로 미래부는 보고 있다. 미래부 관계자는 "악성코드가 워낙 다양하다 보니 즉각적인 대응이 어렵다"며 "익숙한 이메일이라도 의심스러운 부분이 있는지 늘 조심하는 수밖에 없다"고 말했다.

김영식 기자 grad@asiae.co.kr