금융보안 모듈 이용한 사이버 공격 발생 주의

인터넷뱅킹 보안 제품 취약점을 이용한 북한발 사이버 공격이 발생했다. 해당 취약점 패치가 아직 이뤄지지 않은 제로데이 공격이다. 당분간 인터넷익스플로러(IE)와 액티브X 기능 사용을 중단하고 백신을 최신 상태로 업데이트해야 한다.

28일 사이버 보안 업계는 인터넷뱅킹 보안 모듈이 악성코드 배포에 악용되고 있어 주의를 당부했다. 관계기관과 해당 기업은 보안 패치를 만드는 등 대응에 들어갔다. 올해 초 프로그램 배포시 신뢰를 증명하는 `디지털서명(코드사인)`을 해킹당한 I기업 제품이다. 과거 공격의 연장선으로 분석된다.

ⓒ게티이미지뱅크
ⓒ게티이미지뱅크

이번 공격 형태는 과거 대형 사이버테러를 일으킨 조직이 주로 쓰던 수법이라 긴장감이 높다. 2013년 언론과 금융사 전산장비를 파괴한 3·20 사이버테러 때도 금융보안 모듈이 이용됐다.

공격자는 인터넷뱅킹 보안 프로그램 액티브X 취약점을 이용해 특정 웹사이트 접속시 악성코드를 유포한다. 해당 보안 프로그램 인스톨 모듈 설정파일을 이용한다. 유포한 악성코드는 3·20 사이버테러 때 쓰인 악성코드의 최신 변종으로 분석된다.

I사 관계자는 “현재 자사 제품이 공격에 악용되는 상황을 인지하고 관계 기관과 협조해 대응하고 있다”면서 “고객과 국민에 피해를 입히지 않도록 조치에 만전을 다할 것”이라고 밝혔다. 현재 주요 안티바이러스 솔루션은 해당 악성코드를 진단한다.

최근 최순실 국정농단 사건 등으로 국내 정치가 어지러운 가운데 북한발 사이버 공격 움직임이 여기저기서 포착된다. 올해 초 보안제품 4개를 줄줄이 해킹해 공격에 이용한 조직이 다시 움직이는 상황이다.

악성코드를 담은 한글 파일 `우려되는 대한민국`이 제목이다.
악성코드를 담은 한글 파일 `우려되는 대한민국`이 제목이다.

북한 사이버전사는 최근 `우려되는 대한민국`이란 한글파일에 악성코드를 심어 대북 관련 인사에게 보냈다. 지난 11월 8일 마이크로소프트는 `오픈타입(OpenType) 폰트` 보안 패치를 배포했다. 해당 취약점은 국내에서 최초 발견됐다. 외부로 전달되는 의심스러운 형태 폰트파일이나 문서는 실행하지 않는다.

A보안전문가는 “최근 북한 사이버전사 움직임이 활발하다”면서 “그들이 사용한 보안 취약점 가치가 5억원은 족히 넘을 것”이라고 설명했다. 구글, 마이크로소프트, 애플 등은 자사 프로그램 내 보안 취약점을 찾아주면 보상하는 `버그바운티`를 운영한다. 위험도가 높은 보안 취약점은 1억원이 넘는 가격이 산정되기도 한다. 최근 북한 사이버전사가 쓰는 취약점은 과거보다 위험도가 높은 수준이다.

김인순 보안 전문기자 insoon@etnews.com