[지식용어] 날로 고도화 되는 북한의 해킹 수법 '워터링 홀' 이란?

(출처/픽사베이)

해당 사이트의 제로 데이(컴퓨터 보안 담당자가 알기 전에 컴퓨터 보안의 취약한 부분을 이용하는 것) 등을 악용해 접속하는 모든 사용자에게 악성코드를 뿌리기 때문에 사용자가 특정 웹사이트에 접속만 하더라도 감염될 수 있다.

워터링 홀은 특히 산업스파이 활동을 목적으로 컴퓨터나 네트워크를 감염시켜 기밀 정보를 빼내기 위해 사용된다. 빈도가 낮고 공격자의 웹사이트에서 자동으로 돌연변이 악성코드를 생성해 매번 기존 유형과 조금씩 다른 형태로 공격하는 ‘서버 측 다형성 공격기법’을 이용하기 때문에 방어하기 어렵다.

과거엔 주로 타깃화 된 사이버 첩보 활동에 쓰였지만 최근엔 상대적으로 보안 위협에 취약한 중소기업을 노린 워터링 홀도 증가하고 있다. 이렇듯 워터링 홀은 불순한 의도를 가진 범죄자들이 특정 타깃을 공격할 때 사용하는 일종의 테러 행위다. 

북한 추정 해커조직의 사이버전 활동을 추적해온 기관인 한국사이버전연구센터(CWIC)는 지난 1년간 북한 추정 해커가 국내 외교, 항공우주, 북한, 통일, 의회, 국회, 노동, 금융 등과 관련된 협회나 학회, 조합 등 10개 웹사이트에서 방문자에게 악성코드를 유포하는 ‘워터링 홀’ 공격을 수행했다고 밝혔다. 

예를 들면 국방 관련 사이트에 덫을 놓고 기다리다 어느 순간 국방부 관계자가 접속하면 그 PC를 장악하는 것이다. 이를 통해 중요 정보를 조용히 탈취하면서 국방부 내 또 다른 사람에게 악성코드를 전파시키고 또 정보를 얻는 과정을 반복하다 어느 순간 국방부 내 컴퓨터를 모두 마비시키는 사이버 테러인 것이다.

한 때 전 세계에 혼란을 일으켰던 랜섬웨어는 금전을 취득하는 것이 목적이지만 워터링 홀은 누군가에게서 정보를 빼내려는 목적이 강하다. 그러므로 북한의 워터링홀 공격은 우리나라의 외교, 통일, 항공우주, 금융 등의 분야에서 정보를 빼내가겠다는 의도로 볼 수 있다. 

해외 외신을 통해서도, 국내 연구기관을 통해서도 북한의 사이버 테러 소행이 속속들이 밝혀지는 만큼 우리나라 또한 국가전략 차원에서 그 대응책을 총체적으로 마련해야 할 것이다. 더 이상 전쟁은 미사일과 대포만이 아닌 사이버에서도 충분히 일어날 수 있다.