美 핵 연구소 해킹 시도 '콜드리버'는 누구?

[아이뉴스24 김혜경 기자] 첨단기술 탈취를 노린 사이버 공격은 올해 더 거세질 것으로 전망된다. 특히 이들 조직의 공격 기법도 이메일 피싱으로 알려지면서 계정 관리에 각별한 주의가 요구된다.

러시아 연계 해커집단이 지난해 미국의 핵 연구소 3곳을 대상으로 해킹을 시도한 것으로 드러난 가운데 첨단기술 탈취를 노린 사이버 공격은 올해 더 거세질 것으로 전망된다. [사진=픽사베이]

9일 로이터통신과 가디언 등 외신에 따르면 '콜드리버(Coldriver)'라 불리는 해커그룹은 지난해 8~9월 아르곤 국립연구소(ANL)와 브룩헤이븐 국립연구소(BNL), 로런스 리버모어 국립연구소(LLNL)를 대상으로 공격을 시도한 정황이 포착됐다. 이들이 실제 공격에 성공했는지 여부는 아직 알려지지 않았다.

해킹이 시도됐던 시기는 러시아군이 우크라이나 자포리자 원전을 점령한 시점과 맞물린다. 러시아는 지난해 2월 24일 우크라이나를 침공한 이후 해당 원전을 점령, 핵위협 수단 중 하나로 활용해 왔다. 특히 7~8월 이후 원전 주변에서 군사 활동이 집중되면서 국제사회는 방사능 유출 등을 우려한 바 있다.

보안업계에 따르면 콜드리버는 '칼리스토(Callisto)'라는 이름으로도 불리며, 2016년부터 활동한 것으로 알려졌다. 러시아의 물리적 침공 이후 우크라이나 내에서 활발하게 활동 중인 또 다른 해커집단 '가마레돈(Gamaredon)'과의 연관성도 일각에서 제기했지만 구체적으로는 확인되지 않았다. 다만 러시아의 우크라이나 침공 이후 동맹국들에 대한 해킹 공격을 늘려왔다.

2016년 영국 외무부 해킹을 시도하면서 처음 포착됐으며, 올해 초에는 북대서양조약기구(NATO)와 동유럽 국가의 군 네트워크 침입을 시도했다. 지난해 5월에는 영국의 첩보기관인 MI6의 전 수장의 메일을 해킹, '브렉시트(영국의 유럽연합 탈퇴)' 관련 자료를 빼돌린 것으로 전해졌다.

프랑스 보안기업 세코이아(Sekoia)가 발표한 보고서에 따르면 콜드리버는 미국 등 서방국가와 동유럽 국가를 겨냥, 자격증명을 도용하기 위한 피싱 기법을 주요 활용하고 있는 것으로 보인다. 이번 미국 핵 연구소 공격 과정에서도 이들은 복수의 연구원들에게 가짜 로그인 페이지가 포함된 메일을 발송한 것으로 알려졌다.

세코이아는 보고서를 통해 "과거에 관찰된 위협 캠페인에서 이들은 피해자에게 악성 PDF 파일을 보냈다"며 "PDF의 첫 번째 페이지는 피해자가 악성 웹페이지로 연결되는 링크를 열도록 유도한다"고 분석했다.

이메일 피싱 공격은 전통적인 수법이지만 여전히 위협적이다. 국가정보원은 최근 발표한 '2022년 사이버안보 위협 주요 특징과 내년 전망' 보고서를 통해 "침해사고 최초 침투 단계에서 스피어피싱 공격이 지속적으로 발생하고 있다"며 "이를 통해 기업 내부망에 침투, 시스템을 장악하면서 정보 유출 등 중대한 침해사고를 일으킨다"고 전했다.

2021년 기준 사이버위협 주요 유형으로는 ▲메일 무단 열람 ▲해킹메일 발송 ▲악성코드 유포 ▲경유지 구축 순으로 집계됐다. 주요 위협 사례로는 ▲Log4j 취약점 공격 ▲원자력연구원·대우조선해양 해킹 ▲금융기관·질병관리청 사칭 악성앱 유포 등이 꼽힌 바 있다.

특히 지난해에 이어 올해도 국가 배후 해킹조직의 첨단기술 탈취 시도가 기승을 부릴 것으로 보인다. 국정원은 "경제안보 리스크 확대와 산업 패러다임 변화 속에서 방산과 원전, 우주, 반도체 등 첨단 산업기술 탈취 목적의 공격이 지속될 것"으로 내다봤다.

/김혜경 기자(hkmind9000@inews24.com)