미 국방부와 연방수사국(FBI), 국토안보부(DHS)는 지난달 31일 공개한 보고서에서 북한 정부의 해킹조직 ‘히든 코브라’의 악성코드 유포 행위를 확인했다고 밝혔다.

국토안보부 산하 사이버안보.기반시설안보국(CISA)는 지난 달 31일 보도서에서 이들 기관들은 악성코드를 추적·분석해 북한 정부가 사용하는 트로이 악성코드의 변종을 확인했다고 VOA가 보도했다.

미 국토안보부와 연방수사국은 지난 4월 발표한 보고서에서 북한 정부가 홉라이트를 만든 것으로 결론지었고, 9월에는 미 사이버사령부가 11종의 북한 소행 홉라이트 악성코드를 공개하고 위험성을 경고했다.

보고서는 이번에 공개된 악성코드가 기존 홉라이트의 변종이라고 밝혔다.

홉라이트는 컴퓨터의 보안 취약점, 백도어에 설치되는 멀웨어의 일종으로 인터넷 방화벽을 뚫고 들어와 원격으로 컴퓨터를 조종할 수 있는 것이 특징이라고 설명했다.

감염되면 해커가 마음대로 파일을 올리거나 내려받고, 파일을 옮기거나 삭제할 수 있으며, 컴퓨터 자체를 완전히 망가뜨리는 파괴공작도 원격으로 가능하다.

보고서는 홉라이트와 관련해 모두 20개의 악성 실행파일을 분석해 찾아냈으며, 이 가운데 16개는 악성코드와 원격조종자 간 통신 내역과 네트워크 연결을 위장하는 프록시 응용프로그램이라고 설명했다.

나머지 파일에는 사용자의 컴퓨터와 서버 간 연결 시 신원을 확인하는 디지털 인증서인 가짜 공용 SSL 인증서와 암호가 담겨 있던 것으로 분석됐다.

보고서를 발표한 CISA의 크리스 크렙 국장은 최근 연례 사이버안보 회의에 참석해 "북한이 정권 차원에서 사이버 공격에 집중하고 있으며, 적국의 악성 사이버 행위에 대응하기 위해 정부 부처와 민간업체 간 협력을 강화하고 있다"고 말했다.

국방부와 국토안보부, 연방수사국은 "이번 보고서가 세 기관의 오랜 노력의 결과물이라며, 북한 정부가 사용하는 악성코드를 추적하던 중 변종 프로그램의 존재를 확인했다"고 밝혔니다.

그러면서 “미국 정부는 북한의 악의적인 사이버 활동을 ‘히든 코브라’라고 부른다”고 명시해 북한 정부와 연계된 해킹조직 ‘히든 코브라’의 소행임을 분명히 했니다.

히든 코브라는 라자루스, 또는 평화의 수호자 등으로 불리는 북한 해킹조직으로 미국과 한국에 대규모 디도스 공격을 가하고 2014년 소니영화사 해킹, 2016년 방글라데시 은행 해킹 등 전 세계적인 사이버 공격을 펼쳐온 것으로 알려져 있다.

이번 보고서는 "북한 정권의 악성 사이버 활동에 대한 네트워크 방어를 활성화하고 악의적 공격에 노출되는 것을 줄이기 위해 공개했다"고 밝혔다.@