러시아ㆍ북한 '핵티비스트' 기승… 정부24ㆍ국방부도 당했다

정부24ㆍ국방부ㆍ법원 등 마비시켜
랜섬웨어 판매 '핵티비스트'도 출현
"CPS 교란 등 상시 대응태세 유지"

▲오픈AI의 DALL-E로 만든 '핵티비스트' 가상 이미지

러시아-우크라이나 전쟁 중 ‘핵티비스트(Hacktivist)’가 기승을 부리고 있다. 핵티비스트는 해커와 액티비즘의 합성어로, 정치·사회적 목적을 이루기 위해 사이버 공격을 가하는 행동주의자를 의미한다. 특히 북한군 참전을 계기로 우리나라를 대상으로 한 사이버 위협도 늘고 있다.

11일 보안 업계에 따르면, 우리나라 정보 시스템을 대상으로 한 북한과 러시아 핵티비스트의 공격이 증가하고 있다. 최근 친러시아 해커 조직은 정부 민원 신청 및 발급 서비스 ‘정부24’와 국방부·환경부·법원 웹사이트에 분산서비스거부(디도스) 공격을 가했다. 디도스는 특정 서버에 트래픽을 폭주시켜 시스템을 마비시키는 공격이다. 정부24는 4일, 국방부와 환경부는 6일 접속 장애를 겪었다. 7일엔 서울중앙지방법원, 서울고등법원, 사법연수원 등 법원 홈페이지가 먹통이 됐다.

정부는 이 같은 사이버 공격을 핵티비스트 그룹의 소행이라고 결론지었다. 국가안보실은 “우리나라에 대한 친러시아 핵티비스트 그룹의 사이버 공격은 이전에도 간헐적으로 있었으나, 북한의 러시아 파병 및 우크라이나 참전 이후 공격이 빈번해지고 있다”며 “이들의 공격은 민간 대상 해킹이나 정부 기관 홈페이지를 대상으로 한 디도스 공격이 주를 이루고 있다”고 했다.

북한발 위성항법장치(GPS) 교란도 발생했다. 과학기술정보통신부는 이달 1일부터 10일까지 접수된 GPS 신호수신 장애 내역이 항공기 279건, 선박 52건 등 총 331건이라고 밝혔다. GPS 전파혼신은 GPS가 수신하는 신호보다 높은 세기로 방해 전파를 송출하는 것을 의미한다. 전파혼신 시 육․해․공 교통 위치정보 수신에 장애가 발생할 수 있다.

과기정통부는 “북한 개풍 및 해주 방향에서 유입되는 전파 혼신 신호가 중앙전파관리소 전파감시시스템에 지속 탐지되고 있다”며 “과기정통부는 GPS 전파 혼신 상황을 주의 깊게 감시하면서 국토교통부, 해양수산부 등 관계부처와 함께 상시 대응태세를 유지할 것”이라고 했다.

민간에선 랜섬웨어를 판매하는 글로벌 핵티비스트도 출현하고 있다. SK쉴더스 화이트해커그룹 이큐스트에 따르면, 해커 집단 ‘사이버볼크(CyberVolk)’ 그룹이 텔레그램에서 랜섬웨어 및 정보 탈취 도구 ‘사이버볼크 스틸러 브이 원(CyberVolk StealerV1)’을 판매하고 있다. 랜섬웨어는 시스템의 장애를 유발하는 악성코드를 심고 이를 볼모로 금전을 요구하는 사이버 공격이다. 악성코드는 프로그래밍 텍스트 파일인 소스코드 형태로 1000달러(약 140만 원)에 거래됐다. 사이버볼크 그룹은 친팔레스타인 핵티비스트로, 이스라엘을 향한 사이버 공격을 지속하고 있다.

보안 업계 관계자는 “기본적으론 모의해킹이나 대응훈련을 통해 사전에 탐지하는 방식으로 대처한다”며 “최대한 방어하고는 있지만, 100% 막을 수 있는 방법이 있다고 말씀드리긴 어렵다”고 말했다. 다른 업계 관계자도 “사실상 막을 수 있는 방법이 없다”며 “북한에선 그걸(해킹)로 돈 버는 사람들이 주로 하는 거라 우리나라 대응으론 한계가 있다”고 했다. 실제로 폴 나카소네 전 미국 국가안보국(NSA) 국장은 일본 아사히신문 인터뷰에서 “북한이 랜섬웨어를 이용한 사이버 공격으로 국내총생산(GDP)의 25%를 벌고 있는 것으로 추정한다”고 말했다.

이에 한국인터넷진흥원(KISA)도 “러시아-우크라이나 전쟁(북한 파병) 및 국제 해킹 그룹의 국내 디도스 공격 등으로 인한 사이버 위협이 증가하고 있어 비상 상황 발생에 대비한 각 기관 및 기업 대상 보안 강화를 요청한다”고 공지했다.

KISA는 권고사항으로 △사이버 공격 대비 주요 시스템 모니터링 강화 △중요 파일 및 문서 등은 네트워크와 분리된 오프라인 백업 △악성 첨부파일이나 악성 링크 클릭하지 않도록 주의 △소프트웨어의 최신 보안 업데이트 적용 등을 제시했다.