최근 몇 년간 반복적으로 발생한 금융 해킹 사건들 속에서 공통적으로 등장하는 키워드가 있습니다. 바로 ‘북한 해커’와 ‘은행 보안 프로그램’입니다. 보안이 가장 철저할 것 같은 은행 시스템이 어떻게 북한 해킹조직의 타깃이 되었고, 심지어 그들의 침투 경로가 되었는지 의문이 드는 분들도 많을 것입니다. 정말, 북한 해커 침투 경로가 은행 보안프로그램이었을까요?
북한의 해킹 경로가 은행의 보안 프로그램이라는 주장에 대해 근거를 살펴보고, 이를 막기 위한 현실적 해결책을 살펴보겠습니다.
실제 악용된 보안 프로그램 - ‘nProtect’ 사례
국내 은행 및 공공기관에서 가장 많이 사용하는 보안 프로그램 중 하나인 nProtect는 오히려 여러 차례 취약점이 발견된 바 있습니다. 예를 들어 2020년 KISA(한국인터넷진흥원) 보안 권고에 따르면, nProtect Online Security에서 원격 코드 실행이 가능한 심각한 취약점이 존재했고, 이를 통해 공격자가 사용자 PC를 통제할 수 있었습니다. 북한 연계 해킹조직인 ‘라자루스(Lazarus)’는 이와 같은 취약점을 분석하고 활용해 은행 시스템 내부로 침투하는 수단으로 삼았습니다.
사회공학 기법과 위장된 보안 프로그램 업데이트
북한 해커들은 보안 프로그램을 신뢰 기반 사회공학 수단으로 활용하기도 합니다. 예를 들어 ‘은행 보안 업데이트 파일’을 가장해 악성코드를 담은 실행파일을 배포하고, 이를 통해 사용자의 PC에 백도어를 설치합니다. 이 방법은 정상적인 보안 업데이트처럼 보이기 때문에 사용자나 보안 관리자도 쉽게 눈치채지 못합니다. 실제로 2019년에는 ‘보안 인증서 위조’를 통해 유포된 가짜 보안 프로그램이 다수의 금융기관을 타깃으로 공격한 사례가 있었습니다.
ActiveX 및 구형 보안 솔루션의 지속적 사용
국내 인터넷 뱅킹 환경은 오래된 보안 기술, 특히 ActiveX 기반의 보안 모듈에 여전히 의존하고 있는 경우가 많습니다. 북한 해커들은 이와 같은 레거시 시스템의 구조를 이미 파악하고 있으며, 수년간 축적된 데이터를 통해 해킹 경로를 정교화하고 있습니다. 특히 ActiveX 컨트롤은 브라우저에서 높은 권한을 가지기 때문에, 보안 취약점을 이용하면 시스템 깊숙이 침투하는 것이 가능해집니다.
정찰 및 내부자 협조 가능성
북한 해킹조직은 침투 전 장기간에 걸쳐 정찰 활동을 수행하며, 보안 프로그램의 동작 방식, 업데이트 주기, 서버 구조 등을 면밀히 분석합니다. 또한 은행이나 관련 보안업체의 외주 인력이나 파견 인력을 노려 내부 정보를 획득하거나 협조자를 포섭하는 경우도 존재합니다. 이 과정에서 보안 프로그램의 설정값이나 인증정보가 유출되어 공격에 활용될 수 있습니다.
악성코드와 보안 프로그램의 공존 전략
북한 해커들은 보안 프로그램과 충돌하지 않는 악성코드를 개발합니다. 즉, 감염된 시스템에 보안 프로그램이 설치되어 있어도 이를 우회하거나 탐지되지 않도록 설계합니다. 이를 통해 사용자는 ‘보안 프로그램이 있으니 안전하다’는 착각에 빠지게 되고, 오히려 그 보안 프로그램이 침투 경로가 되었음을 인식하지 못합니다. 이는 마치 방화벽의 틈을 파고드는 연기처럼, 은밀하고 치밀하게 진행됩니다.
그렇다면, 해결책은 무엇일까?
북한의 이러한 사이버 공격을 막기 위해서는 단순한 백신 설치나 보안 인식 강화만으로는 부족합니다. 현실적인 해결책에대해 이야기 해봅시다.
보안 프로그램의 전면 재점검 및 구조 개선
기존 보안 프로그램, 특히 오래된 ActiveX 기반 모듈을 전면적으로 폐기 또는 개선해야 합니다. 클라우드 기반 보안 기술, 가상화 기반 샌드박스 기법 등을 도입해 최신 위협에 대응 가능한 구조로 전환해야 하며, 정기적인 외부 보안 감사를 통해 취약점을 선제적으로 파악할 필요가 있습니다.
제로 트러스트(Zero Trust) 보안 모델 도입
‘모든 사용자는 의심하라’는 제로 트러스트 보안 모델을 도입해야 합니다. 은행 내부 시스템뿐만 아니라 보안 프로그램 자체에도 다단계 인증, 사용 행위 분석(UEBA) 등을 적용하여 내부자가 악용하거나 외부에서 위장 침투하는 것을 차단할 수 있습니다.
공급망(Supply Chain) 보안 강화
보안 프로그램이 납품되는 과정, 즉 공급망 자체에 대한 보안 강화도 매우 중요합니다. 외주업체, 보안 솔루션 개발사, 유지보수 인력 등 모든 관련자에 대해 신뢰성을 검증하고, 보안성 검토 절차를 반드시 포함시켜야 합니다. 공급망 해킹은 이미 수차례 발생한 만큼, 가장 현실적인 대응책 중 하나입니다.
AI 기반 침입 탐지 시스템 활용
기존 보안 프로그램은 패턴 기반으로만 동작하는 경우가 많아, 신종 악성코드나 변종 공격에 취약합니다. AI 기반 이상행위 탐지 시스템(EDR, XDR 등)을 도입해 정상적인 보안 프로그램 내부에서 이상 행동이 발생하는지 실시간으로 감지해야 합니다. 이는 특히 북한처럼 장기간 잠복 후 타격하는 공격에 효과적입니다.
금융 소비자에 대한 보안 교육 및 환경 분리
은행 이용자, 특히 고액 자산가나 기업 고객에 대해서는 강화된 보안 교육이 필요합니다. ‘보안 프로그램을 설치했다고 끝이 아니다’는 인식을 심어야 하며, 인터넷 뱅킹을 사용할 PC와 일반 웹서핑용 PC를 분리 운영하는 것도 좋은 방법입니다. 더불어, 키보드 보안 프로그램이나 가상 키패드에 대한 맹신도 경계해야 합니다. 은행의 보안프로그램은 사용하지 않을시 모두 지우기를 권유드립니다.
보안의 이름으로 가려진 취약점
보안 프로그램은 원래 해킹을 막기 위한 장치입니다. 그러나 그 ‘보안’이 허술하면 오히려 가장 깊숙한 침투 경로가 되어버립니다. 북한 해커들은 바로 그 허점을 노려 금융기관을 공격해 왔고, 앞으로도 이런 공격은 더욱 지능화될 것입니다.
이제는 구시대적 보안 솔루션에 대한 근본적 성찰과 더불어, 기술·정책·문화 전반에 걸친 보안 전략의 재정립이 필요한 때입니다. 눈에 보이지 않는 해커의 그림자와 싸우기 위해, 우리는 더 깊이 들여다보고 더 빠르게 변화해야 합니다.
도움 유투브
노말틱