1. 서론
최근 대한민국의 디지털 생태계에서 가장 큰 위협 중 하나는 북한의 사이버 공격이다. 2024년 3월, 북한의 주요 해킹조직이 국내 방산 기업 10여 곳을 공격해 큰 피해를 입혔으며[1], 2024년 6월에는 법원행정처 전산망 해킹으로 1,014GB에 달하는 방대한 자료가 탈취되는 사건이 발생했다[2]. 또한, 보건복지부 공식 SNS 계정이 해킹되는 등, 북한은 정부 부처와 공공기관을 포함한 다양한 목표를 겨냥해 전방위적인 사이버 캠페인을 수행하고 있다[3].
북한은 그동안 우리의 사이버공간을 공격하여 얻은 경험과 지식을 바탕으로 대한민국의 디지털 생태계를 위협하고 있으며, 암호화폐 탈취를 통해 핵·미사일 개발 자금을 조달하는 등 비대칭 전력으로서 사이버 역량을 적극 활용하고 있다. 이러한 사이버 공격은 시간이 지남에 따라 그 범위와 피해가 더욱 확대될 것으로 보이며, 유사시에는 대규모 사이버 공격이 발생할 위험이 높다[4].
이처럼 북한 해킹조직들이 다양한 목표를 상대로 공격을 확대하는 상황에서, 우리 정부와 사회는 효과적인 대응책을 마련하는 데 어려움을 겪고 있다. 이에따라 북한의 사이버 공격 전술을 심층 분석하여 그 대응책을 모색하는 것은 국가 안보 측면에서 매우 중요한 과제이다.
본 논문은 최근 북한의 대남 사이버위협 사례를 분석하고, 이를 바탕으로 북한이 주로 수행한 피싱 이메일(Phishing Email), 워터링홀(Watering Hole), 계정 탈취(Account Takeover) 등의 대표적인 사이버 공격 전술을 면밀히 분석한다. 또한, 우리 정부와 민간 기관이 취하고 있는 대응 전략을 분석하여 문제점을 식별하고, 이를 개선하기 위한 구체적인 방안을 제시하고자 한다.
논문의 구성은 다음과 같다. 2장에서는 북한 사이버 공격의 주요 전술적 특징을 다루고, 3장에서는 이에 대한 대한민국의 대응 전략과 그 한계점을 분석한다. 마지막으로 4장에서는 연구의 결론을 도출하고, 향후 연구 방향을 제시한다.
2. 북한 사이버 공격의 전술적 특징
북한의 해커들은 자본주의 사회의 구조적 및 인간적 취약성을 전략적으로 활용하여 다양한 사이버 공격을 수행한다. 이들은 금전적 이익, 정보 제공, 취업 기회, 공동연구 제안 등의 유인책을 통해 사회공학 기법을 사용하며, 이러한 기법은 인터넷 인프라 내에서 발견되는 취약점을 공격하는 데 주로 활용된다. 특히, 공개된 인터넷 정보를 분석하여 표적과 관련된 세부정보를 수집한 후, 이를 바탕으로 취약한 서버와 웹 호스팅 업체를 대상으로 피싱 이메일, 워터링홀, 자료 탈취 등의 공격을 수행한다. 또한, 북한 해커들은 1-day 및 0-day 취약점, 실행 파일 변조 등 다양한 공격 기술을 자체적으로 개발하고 이를 효과적으로 활용할 수 있는 능력을 보유하고 있다.
본 장에서는 북한 해커들의 최근 사이버 공격 사례에서 공통적으로 나타나는 주요 전술적 특징인 피싱 이메일, 워터링홀, 계정 탈취에 대해 심층 분석하고, 각 전술의 개념과 특징, 그리고 공격 절차를 검토하고자 한다.
이를 통해 북한의 사이버 공격 전술을 체계적으로 이해하고, 향후 효과적인 대응책 마련에 기여할 수 있을 것이다.
2.1 피싱 이메일(Phishing Email)
북한의 사이버 공격에서 가장 자주 사용되는 방법 중 하나는 피싱 이메일 공격이다. 피싱 이메일은 사용자의 민감한 정보를 탈취하거나 악성 소프트웨어를 설치하도록 유도하는 사기성 이메일을 의미한다. 기존 자료[5]에 따르면, 북한의 해킹 시도 중 약 74%가 피싱 이메일 공격으로 분류되어, 북한이 이 전술을 매우 빈번하게 사용하고 있음을 보여준다.
피싱 이메일의 주요 특징은 다음과 같다. ① 신뢰성 위장: 공격자는 신뢰할 수 있는 기관이나 개인을 사칭하여 사용자가 특정 행동을 하도록 유도한다. 은행, 소셜 미디어 플랫폼, 전자 상거래 사이트, 정부 기관 등을 사칭하는 경우가 많으며, 북한 해커들은 'Daum 게임 담당자'나 'NAVER 고객센터' 등을 사칭하여 포털 사이트 관리자로 위장하기도 한다. ② 긴급성 강조: 공격자는 사용자가 즉각적으로 반응하도록 긴급한 상황을 연출한다. 예를 들어, "귀하의 계정이 해킹되었습니다"라는 문구를 사용하여 사용자에게 신속한 대응을 요구한다. ③ 행동 유도: 이메일 내 링크를 클릭하거나 첨부 파일을 열도록 유도한다. 링크는 피싱 사이트로 연결되고, 첨부 파일은 악성코드를 포함해 컴퓨터에 바이러스나 스파이웨어를 설치할 수 있다. ④ 맞춤형 공격: 특정 개인이나 조직을 목표로 한 스피어 피싱(Spear Phishing) 방식이 사용된다. 공격자는 목표 대상을 사전 조사하여 설득력 있는 메시지를 작성해 성공률을 높인다.
피싱 이메일은 다양한 형태로 나타나며, 크게 클래식 피싱(Classic Phishing), 스피어 피싱(Spear Phishing), 웨일링(Whaling) 등으로 구분된다. 클래식 피싱은 대량 발송되는 무작위 공격이고, 스피어 피싱은 특정 개인이나 조직을 겨냥하며, 웨일링은 고위 인사와 같은 중요한 인물을 사칭해 성공률을 높이는 피싱 공격이다.
피싱 이메일 공격은 (그림 1)과 같이 여러 단계를 거쳐 수행된다. ① 목표 선정: 공격자는 개인 혹은 조직, 기업을 대상으로 이메일 주소, 이름, 직책, 회사정보 등을 수집하여 맞춤형 공격을 준비한다. 이러한 정보는 주로 인터넷에서 공개된 자료를 통해 수집되며, 표적의 신뢰성을 확보하는 데 사용된다. ② 위장 이메일 작성 및 발송: 피싱 이메일은 신뢰할 수 있는 기관, 조직 또는 개인을 사칭하며, 이를 위해 공격자는 공식 로고, 서명, 이메일 주소 등을 사용하여 실제 이메일처럼 보이도록 위장한다. 이메일에는 긴급한 상황을 강조하거나 경고문구를 포함한 메시지가 담겨 있으며, 사용자가 빠르게 반응하도록 유도한다. 대규모 스팸 메일링 리스트를 통해 수천, 수만 건의 이메일이 한 번에 발송되거나, 특정 대상을 겨냥한 스피어 피싱 방식으로 발송된다. ③ 사용자 반응 유도: 이메일을 받은 사용자가 링크를 클릭하거나 첨부 파일을 열도록 유도된다. 사용자가 링크를 클릭하면 피싱 웹사이트로 이동하여 로그인 정보나 기타 민감한 정보를 입력하게 하며, 첨부된 파일을 열면 악성코드가 컴퓨터에 설치된다. ④ 정보 탈취 및 악용: 사용자가 입력한 정보는 즉시 공격자의 서버로 전송된다. 이후 공격자는 피해자의 은행 계좌나 온라인 계정에 접근하거나, 탈취한 정보를 추가적인 공격에 사용한다. 또한, 탈취한 데이터를 다크웹과 같은 암시장에서 판매하여 수익을 얻는다. ⑤ 흔적 제거: 공격자는 성공적인 공격 후 흔적을 지우기 위해 사용한 서버와 도메인을 빠르게 폐쇄하거나 이메일 계정 및 피싱 사이트를 비활성화한다. 이러한 절차는 공격이 얼마나 체계적이고 치밀하게 계획되었는지를 보여준다.
(그림 1) 피싱 이메일 공격절차
이러한 단계들은 피싱 이메일 공격의 구조적 특성과 그 치밀함을 잘 나타내며, 특히 북한의 사이버 공격에서 자주 관찰되는 전술 중 하나로 활용되고 있다.
2.2 워터링홀(Watering Hole)
워터링홀(Watering Hole) 공격은 북한 해커들이 자주 사용하는 사이버 공격 기법으로, 특정 웹사이트를 표적으로 삼아 해당 사이트를 방문하는 사용자들을 감염시키는 방식이다. 이 공격 명칭은 야생 동물이 물을 마시기 위해 자주 찾는 '워터링홀'에서 유래하였으며, 공격자는 표적이 자주 방문하는 웹사이트에 악성코드를 삽입하여 해당 웹사이트를 방문하는 사용자들을 감염시키는 전략을 취한다.
예를 들어, 2023년 8월 북한 해커들은 국내 언론사 홈페이지의 취약점을 이용해 특정 기사 페이지에 악성 스크립트를 삽입하여 이를 방문한 다수의 사용자를 감염시켰다. 이 공격은 피해자가 웹사이트에 접속하는 순간 자동으로 악성코드가 설치되도록 설계되었으며, 웹사이트 방문자들은 감염 사실을 인지하기 어려웠다. 2024년 8월에는 건설 및 기계 분야의 민간회사를 대상으로 한 공격이 발생했는데, 이때 공격자들은 가상 사설망(VPN) 소프트웨어의 업데이트 파일을 악성코드로 감염시켜, 이를 다운로드한 사용자의 컴퓨터에 악성코드를 설치하는 방식으로 공격을 수행했다[6]. 이러한 공격은 (그림 2)에서 보듯이 주로 지자체, 공공기관, 건설기업 등에서 관련 업무를 담당하는 이들을 목표로 삼았다.
(그림 2) 북한의 워터링홀 공격사례[6]
워터링홀 공격의 주요 특징은 다음과 같다. ① 특정 목표 선정: 워터링홀 공격은 불특정 다수를 목표로 하지 않으며, 특정 조직이나 그룹을 겨냥하는 경향이 있다. 북한의 경우, 언론사, 정부 기관, 특정 산업 분야의 웹사이트를 표적으로 삼아 해당 웹사이트를 방문하는 특정 인물들을 감염시킨다. ② 공격의 은밀성: 감염된 사용자는 피해 사실을 쉽게 인식하기 어렵다. 악성코드는 사용자의 웹 브라우저 정보를 수집한 후 이를 바탕으로 맞춤형 악성코드를 설치하며, 이러한 악성코드는 탐지 시스템을 피하기 위해 정교하게 설계된다. ③ 공급망 공격과 결합: 워터링홀 공격은 종종 공급망 공격과 결합된다. 공격자는 표적이 자주 사용하는 소프트웨어나 서비스를 미리 파악하고, 이를 변조하여 더 많은 사용자에게 악성코드를 확산시킨다. ④ 정치적 또는 경제적 동기: 북한의 워터링홀 공격은 군사적, 정치적, 경제적 목표를 달성하기 위해 수행된다. 이를 통해 군사 시스템 침투와 기밀 정보 탈취가 이루어지며, 북한의 전략적 목표를 지원한다. ⑤ 기술적 복잡성: 워터링홀 공격은 제로데이 취약점이나 최신 기술을 사용하여 웹사이트를 감염시키는 경우가 많다. 공격자는 목표 웹사이트의 구조와 기술적 세부 사항을 깊이 이해하고, 악성코드를 지속적으로 업데이트하여 탐지를 피하기 위한 고도의 기술을 구사한다.
이러한 특징을 종합해보면, 북한의 워터링홀 공격은 사전 정보 수집을 통해 목표 대상을 깊이 이해하고, 정교한 기술력을 기반으로 수행되는 전략적 사이버 공격임을 알 수 있다.
워터링홀(Watering Hole) 공격 절차는 (그림 3)과 같은 여러 단계를 거쳐 수행된다. ① 목표 그룹 분석: 공격자는 정치적, 경제적 또는 군사적 목적을 달성하기 위해 특정 조직이나 그룹을 표적으로 삼아 워터링 홀 공격을 계획한다. 이 과정에서 목표 그룹이 자주 방문하는 웹사이트, 사용하는 소프트웨어, 선호하는 온라인 서비스 등을 분석하고, 일정 기간 동안 그들의 행동 패턴을 관찰한다. 이 단계에서 이루어지는 목표 그룹 분석은 공격 성공 여부를 좌우하는 중요한 요소이다. ② 웹사이트 침투: 공격자는 목표 그룹이 자주 방문하는 웹사이트의 보안 취약점을 찾는다. 취약점은 웹 서버, 웹 애플리케이션, 웹 플러그인 또는 제3자 서비스에서 발생할 수 있다. 공격자는 취약점을 악용하여 웹사이트 관리자 권한을 획득하거나 보안 체계를 우회하고, 그 후 악성코드 또는 스크립트를 삽입한다. 이때 사용자가 자주 이용하는 플러그인, 자바스크립트 또는 광고 네트워크를 통해 악성코드를 배포한다. ③ 감염 및 확산: 목표 그룹의 사용자가 감염된 웹사이트를 방문하거나 서비스를 사용할 때 악성코드가 사용자의 컴퓨터나 네트워크에 설치된다. 이때 악성코드는 사용자의 시스템에 침투하여 공격자가 사전에 지정한 행위를 수행한다. 초기 감염 후, 악성코드는 추가적인 악성 페이로드를 다운로드하거나, 네트워크에서 다른 시스템이나 네트워크로 감염을 확산한다. ④ 정보 탈취 및 공격 확대: 공격자는 감염된 컴퓨터나 네트워크에서 로그인 자격증명, 금융 정보, 기밀문서와 같은 민감한 정보를 탈취한다. 탈취된 정보는 판매되거나 정치적 목적 또는 추가적인 공격에 사용된다. 공격자는 또한 감염된 시스템에 백도어(backdoor)를 설치하여 지속적인 접근을 확보하고, 후속 공격을 가능하게 한다. ⑤ 악성코드 지속 업데이트: 악성코드는 보안 시스템의 탐지를 피하기 위해 지속적으로 업데이트되거나 변형된다. 이 과정에서 공격자는 다양한 기법을 사용해 악성코드를 감지하지 못하게 하고, 시스템에 깊숙이 숨어 지속적인 피해를 줄 수 있는 상태를 유지한다.
(그림 3) 워터링홀 공격절차
이러한 절차는 워터링홀 공격의 정교함과 은밀성을 잘 보여주며, 탐지와 대응이 매우 어려운 전술로 평가된다. 이러한 특성 때문에 워터링홀 공격은 정부 기관, 국방, 금융, 연구기관 등 주요 조직을 대상으로 하는 지능형 지속 위협(APT) 공격에서 자주 활용된다.
2.3 계정탈취(Account Takeover)
계정탈취 공격은 북한 해커들이 주로 정보 탈취와 금전적 이익을 목적으로 사용하는 사이버 범죄 기법 중 하나이다. 대표적인 사례로는 2016년 소니 픽처스 해킹 사건에서 직원들의 계정을 탈취하여 내부 정보를 유출한 사건이 있다. 또한, 2018년 발생한 다크호텔(DarkHotel) 공격에서는 아시아 지역의 고위 관리들의 계정이 탈취되었으며, 2020년에는 코로나19 백신 개발과 관련된 연구소와 제약회사를 대상으로 계정탈취 공격이 이루어졌다[7].
(그림 4)에서 보듯이 북한의 해킹 조직인 김수키(Kimsuky)는 2023년 11월, '건강보험 안내문'이나 ' 질의서' 등을 사칭한 전자우편을 통해 약 1,500명의 이메일 계정을 탈취한 바 있다[8]. 또한, 2024년 5월에는 법원 전산망을 해킹하여 약 1천 GB에 달하는 개인정보를 포함한 대량의 자료를 탈취하였다[9]. 이러한 사례들은 계정탈취 공격이 북한 해커들에게 중요한 전략적 도구로 활용되고 있음을 보여준다.
(그림 4) 북한의 계정탈취 공격 사례[7]
북한의 계정탈취 공격의 주요 특징은 다음과 같다: ① 다양한 공격 벡터: 계정탈취 공격은 피싱, 크리덴셜 스터핑(Credential Stuffing), 소셜 엔지니어링(Social Engineering), 악성 소프트웨어 설치 등 다양한 방법을 통해 이루어진다. 특히 크리덴셜 스터핑의 경우 공격자는 유출된 자격증명 데이터를 사용하여 여러 웹사이트에 자동으로 로그인 시도를 함으로써 동일한 비밀번호를 사용하는 사용자를 목표로 삼는다. ② 탐지의 어려움: 계정탈취 공격은 합법적인 사용자의 행동을 가장하기 때문에 탐지하기 어렵다. 공격자는 계정을 탈취한 후 사용자의 평소 행동 패턴을 모니터링하고 이를 모방하거나 IP 주소를 위장하여 보안시스템을 우회함으로써 의심을 피한다. ③ 자동화된 공격: 계정탈취는 종종 자동화된 도구를 통해 대규모로 수행된다. 예를 들어, 수십만 개의 자격증명을 사용해 자동으로 로그인 시도를 반복하는 방식으로 유효한 로그인 정보를 찾아내는 크리덴셜 스터핑 공격이 대표적이다. ④ 2차 피해 확산: 계정탈취 공격은 하나의 계정에서 끝나지 않고 다른 시스템이나 계정, 혹은 다른 네트워크로 확산될 수 있다. 또한, 탈취한 이메일 계정을 사용해 다른 서비스에서 비밀번호 재설정을 요청하거나, 피싱 이메일을 발송해 다른 사용자를 추가로 공격할 수 있다. ⑤ 내부자 위협: 계정탈취 공격은 내부자의 의도적이거나 실수로 인한 정보 유출을 악용할 수 있다. 내부자의 계정 정보 유출은 공격자가 이를 통해 계정을 탈취하고, 해당 계정을 이용해 추가적인 공격을 수행하는 데 사용될 수 있다.
계정탈취 공격은 (그림 5)에서 보는 바와 같이 일반적으로 여러 단계를 거쳐 수행된다. ① 정보 수집 및 목표 선정: 공격자는 먼저 목표 대상을 선정한 후, 이메일 주소, 이름, 직책, 회사 정보 등의 개인정보를 수집한다. 금융 계정, 이메일 계정, 소셜 미디어 계정 등이 주로 목표가 되며, 이 단계에서 수집된 정보는 이후 공격에 필요한 기반이 된다. ② 소셜 엔지니어링: 공격자는 합법적인 기관이나 서비스로 가장하여 사용자가 자신의 로그인 정보를 입력하도록 유도한다. 이를 위해 피싱 이메일, 가짜 웹사이트 등이 사용되며, 공격자는 이러한 수단을 통해 목표로부터 정보를 수집하려 한다. ③ 자격증명 확보 및 계정탈취: 공격자는 유출된 자격증명을 사용하여 여러 웹사이트에서 자동으로 로그인 시도를 하거나, 무차별 암호 대입 공격(Brute Forcing) 기법을 사용해 비밀번호를 알아내려고 시도한다. 자격증명 확보에 성공하면 공격자는 계정의 비밀번호, 복구 이메일, 전화번호 등을 변경하여 실제 계정 소유자가 접근하지 못하도록 한다. ④ 2차 피해 확산 및 악용: 탈취된 계정은 다른 서비스로의 접근을 시도하는 데 활용되거나, 추가적인 공격에 이용된다. 공격자는 이를 통해 금융 정보, 개인 식별 정보(PII), 비즈니스 기밀 정보 등을 불법적으로 획득하고 이를 악용하거나 판매한다.
(그림 5) 계정탈취 공격절차
공격자는 또한 보안 시스템 탐지를 피하기 위해 로그를 삭제하거나 가상 사설망(VPN), 프록시 서버(Proxy Server) 등을 사용하여 자신의 IP 주소를 숨긴다. 이로 인해 계정탈취 공격은 더욱 은밀하고 탐지하기 어려운 공격 방식으로 남아 있다.
3. 우리 대응체계 한계 및 개선방안
이번 장에서는 지금까지 살펴본 북한의 대표적 사이버 공격 전술인 피싱 이메일, 워터링홀, 계정탈취에 대한 대응체계의 한계를 분석하고 개선방안을 제시한다.
3.1 대응체계의 한계
북한의 사이버 공격 전술에 대한 우리 대응체계의 주요 한계점은 다음과 같다.
첫 번째는 피싱 이메일 탐지의 어려움이다. 북한의 피싱 이메일은 매우 정교하게 위장되어 있어, 기존 이메일 필터링 시스템이나 스팸 필터로 탐지하기 어려운 경우가 많다. 북한의 피싱 이메일은 의도적으로 악성코드나 의심스러운 링크를 포함하지 않아 초기 탐지를 회피하고, 일반적인 비즈니스 이메일처럼 보이도록 설계된다. 이로 인해, 피싱 이메일을 통해 민감한 정보가 탈취될 가능성이 매우 높아지고 있다.
두 번째는 워터링홀 공격의 복잡성이다. 워터링홀 공격은 웹사이트와 네트워크의 취약점을 악용하며, 특히 공급망 공격과 결합될 때 대응이 더욱 어렵다. 많은 조직들이 제3자 서비스나 외부 제공자에 대한 통제력이 부족하고, 웹사이트 보안 점검과 코드 리뷰가 정기적으로 이루어지지 않아 악성코드가 오랜 시간 탐지되지 않을 수 있다.
세 번째는 비밀번호 기반 인증의 취약성이다. 비밀번호 기반 인증은 여전히 많은 서비스에서 기본적인 인증 수단으로 사용되고 있지만, 사용자의 보안 인식 부족으로 인해 간단한 비밀번호 사용이나 동일 비밀번호를 여러 사이트에서 사용하는 경우가 많다. 이 취약성은 크리덴셜 스터핑(Credential Stuffing) 같은 공격에서 쉽게 악용되며, 단순한 비밀번호 정책으로는 이러한 공격을 효과적으로 방어하기 어렵다.
네 번째는 민관군 통합 대응체계의 미흡이다. 한국의 사이버 대응체계는 민간, 정부, 군사 영역이 분리되어 있어, 한 영역에서 발생한 취약점이 다른 영역으로 확산될 수 있다. 예를 들어, 민간 영역에서 발생한 취약점이 정부나 군사 영역으로 퍼져 국가 차원의 위협으로 이어질 수 있다. 이러한 분리된 대응체계로는 북한의 사이버 공격 전술에 효과적으로 대응하기 어렵다.
마지막으로는 방어 중심 전략의 한계이다. 현재 정부는 능동적인 대응 전략을 수립하고 있지만, 현장에서는 여전히 방어 중심의 전략에 머무르고 있다. 북한의 사이버 공격이 점점 더 정교해지고 있기 때문에, 방어적 접근만으로는 효과적인 대응이 어렵다. 따라서 보다 적극적인 위협 사전 탐지 및 선제적 차단 전략이 필요하다.
이러한 한계점들은 북한의 사이버 공격에 효과적으로 대응하기 위해 반드시 해결되어야 하며, 이를 위해 기술적, 정책적, 교육적 측면에서 종합적인 대응 방안이 필요하다.
3.2 개선방안
본 논문에서는 북한의 사이버 공격 전술에 대한 대응 방안을 다음과 같이 제시한다:
첫 번째는 국가 차원의 적 위협 몰아내기(Drive-Out) 전략의 수행이다. 북한의 사이버위협을 체계적으로 제거하기 위해, 인공지능 기반의 취약점 자동 진단 및 패치 시스템 구축이 필요하다. 정부 기관이 주도하여 공개된 취약점과 해커들이 악용할 수 있는 취약점을 정기적으로 점검하고, 취약한 부분을 신속히 보완해야 한다. 또한, 사이버 공격의 거점이 될 수 있는 잠재적 위협요소를 사전에 탐색하고 제거하는 활동을 강화해야 한다. 두 번째는 주요 인터넷 서비스 보안 강화이다. 국민들이 주로 사용하는 인터넷 서비스에 대한 보안정책을 강화해야 한다. 계정 개설 시 다단계 인증(MFA)을 기본 설정으로 지정하고, 인공지능 기반의 보안기술을 도입하여 비정상적인 계정 활동을 감지해야 한다. 또한, 스팸 필터링 및 이상행동 감시 기술을 지속적으로 업그레이드하고, 북한 해커들이 주로 표적으로 삼는 서비스들의 취약점을 정기적으로 점검해야 한다.
세 번째는 민관군 합동 대응체계 구축 및 상시 운용이다. 민간, 정부, 군이 협력하여 통합된 대응체계를 구축하고 이를 평시에도 운영함으로써 각 조직의 강점을 활용할 수 있다. 민관군 통합 관제 시스템을 통해 실시간으로 사이버위협 정보를 공유하고, 정기적인 공동 훈련과 연습을 통해 대응 역량을 강화해야 한다. 또한, 사이버보안 기술 연구개발에 공동으로 참여하여 새로운 위협에 대한 탐지 시스템을 개발하고, 보안 인프라를 공유해야 한다.
마지막은 적극적 위협 사전 탐지 및 공격 차단 전략의 수행이다. 기존의 방어 중심 전략에서 벗어나, 위협을 사전에 탐지하고 차단하는 능동적 방어 시스템을 구축해야 한다. 사이버위협 인텔리전스 시스템을 도입하여 북한의 공격 패턴을 사전에 분석하고, 잠재적 공격을 예측하여 실시간으로 위협을 차단하는 것이 중요하다.
이러한 대응방안들은 기술적, 정책적, 조직적 측면에서 종합적으로 접근할 필요가 있으며, 이를 통해 국가의 사이버 보안을 강화하고 북한의 사이버 공격에 대한 대응 역량을 향상시킬 수 있을 것이다.
4. 결론
북한의 사이버 공격은 그 정교함과 빈도가 증가하고 있으며, 그 대상은 정부 기관, 국방 산업, 금융 기관 등 다양한 분야로 확장되고 있다. 이러한 공격은 대한민국의 국가 안보에 심각한 위협을 제기하고 있으며, 이를 효과적으로 방어하기 위해서는 체계적이고 선제적인 대응 전략이 필수적이다.
본 논문에서 우리는 북한의 대표적인 사이버 공격 전술인 피싱 이메일, 워터링홀, 계정탈취에 대해 분석하고, 각각의 전술적 특징과 공격 절차를 심층적으로 검토하였다. 현재 대응체계의 한계점을 명확히 식별하면서, 특히 피싱 이메일 탐지의 어려움, 워터링홀 공격의 복잡성, 비밀번호 기반 인증의 취약성, 그리고 민관군 통합 대응체계의 미흡함 등을 문제로 지적하였다.
이를 해결하기 위해 국가 차원의 적 위협 몰아내기(Drive-Out) 전략과 인터넷 서비스 보안 강화, 민관군 합동 대응체계 구축, 적극적 위협 탐지 및 차단 전략을 제안하였다. 이러한 대응방안은 북한의 사이버 공격에 효과적으로 대응하기 위한 필수적인 요소들로, 기술적, 정책적, 조직적 측면에서 국가 차원의 협력이 요구된다.
미래의 사이버전에서는 북한의 공격 양상을 예측하고 이에 대비하는 능력이 더욱 중요해질 것이다. 이를 위해, 미 국방부(DoD)가 추진하고 있는 디펜드 포워드(Defend Forward)와 헌트 포워드(Hunt Forward) 작전 개념을 바탕으로, 우리 군에 적합한 사이버위협 대응 모델을 개발할 계획이다. 이를 통해 국가의 사이버보안을 한층 강화하고, 북한의 사이버위협에 대한 대응 역량을 극대화할 수 있을 것이다.
References
- 배주환, "방산업체 10여 곳 北해킹조직에 뚫렸다‥방산기술 줄줄이 탈취", MBC, 2024.04.23.
- 황정호, "법원도 터는 '북한 해킹', 지금도 진행중", KBS, 2024.05.18.
- 김보민, "속속 뚫리는 공공 보안…보건복지부 SNS 계정 해킹 피해", 디지털데일리, 2024.05.16.
- 정영도, 정기석, "북한 사이버공격에 대한 대응방안에 관한 연구", 융합보안논문지, 제16권, 제6호, pp. 43-50, 2016.
- 김영명, "네이버·카카오 등 사칭 '해킹메일 전송', 전체 북한 해킹수법의 74%", 보안뉴스, 2023.05.25.
- 사이버안보정보공동체, "북한 해킹조직의 건설·기계 분야 기술절취 주의", 2024.08.05.
- Bruce Klingner, "North Korea's Cybercrim es Pay for Weapons Programs and Undermine Sanctions", The Heritage Foundation, 2023.09.20.
- 윤보람, "북, 외교전문가 등 1천468명 이메일 해킹…가상자산 탈취 시도", 연합뉴스, 2023.11.21.
- 이문현, "북 해커에 털린 법원‥"개인정보 등 1천 GB 탈취"", MBC News, 2024.05.12.
- 길민권, "북한 해킹 조직 스피어피싱 메일 공격에 평균 25%가 응답…심각한 수준", 데일리시큐, 2024.01.03.