한글문서(hwp)를 이용한 사이버 공격이 우리나라 정부기관에 가장 많이 집중되는 것으로 나타났다. 한글문서 사용에 대한 정부의 각별한 주의가 필요해 보인다.
한국인터넷진흥원(KISA) 침해사고분석단이 최근 3년간 국내 발생한 한글(hwp) 문서 관련 사어버 공격을 분석한 결과, 공격 대상에 정부기관이 가장 많은 비중을 차지했다.
전체 42건 중 13건(31%)이 정부기관을 상대로 한 공격이었으며 대북단체가 11건(26%), 국방기관 8건(19%) 순으로 집계됐다. 개인과 기업도 각각 8건(19%), 2건(5%)이었다.
한글문서를 이용한 공격은 한글 프로그램의 취약점을 이용, 악성코드를 문서에 몰래 숨겨 PC를 감염시키는 수법이다. 공격에 이용된 악성코드는 대부분 정보수집·정보유출·원격제어 기능을 탑재하는 것으로 나타나 주로 내부 문서를 유출하기 위한 목적에서 공격이 이뤄지는 것으로 파악됐다. 정부기관이 주 타깃이 된 건 민감한 정보를 다루고 한글 프로그램의 사용률이 높기 때문으로 풀이된다.
공격자는 특히 대상을 현혹시키기 위해 사회적인 이슈 발생 시점에 관심사를 문서에 담아 공격하는 특징을 보였다. 지난 2012년 10월 대선을 앞두고 후보들이 정책 공약을 강조하던 시기 공약 관련 문서를 보내거나 국가적인 행사에 맞춰 위장 한글문서를 보내는 방식을 썼다.
이 같은 점들을 미뤄볼 때 공격자는 국내 현황에 밝고 정치·사회적 목적을 가지고 있으며 철저히 분업화돼 있다는 분석이다. 사회적 이슈를 활용하는 동시에 금전적 이익이나 시스템 파괴가 아닌 정보 수집에 초점을 맞추고 있기 때문이다. 또 짧은 시간 다수의 공격을 집중적으로 수행해 특정 개인이 아닌 집단이 조직적으로 활동했을 가능성이 크다.
이재광 KISA 선임연구원은 “정부기관 내 중요 정보를 탈취하기 위한 통로로 한글문서를 활용하고 있다”며 “공격 정보를 신속하게 탐지하는 것이 중요한 데 이를 위해서는 사용자, 소프트웨어 개발회사, 유관기관 및 보안 업계의 공동 대응이 필요하다”고 강조했다.
윤건일기자 benyun@etnews.com
