세계일보

검색

'경제난' 北 전방위 해킹 위험수위… 자금 탈취·정보 획득 동시에 노려 [디펜스 포커스]

, 디펜스 포커스

입력 : 2021-07-21 06:00:00 수정 : 2021-07-20 19:43:51

인쇄 메일 글씨 크기 선택 가장 작은 크기 글자 한 단계 작은 크기 글자 기본 크기 글자 한 단계 큰 크기 글자 가장 큰 크기 글자

원자력硏·항공우주산업 자료 유출
서울대병원 네트워크까지 뚫려
2020년 통일부 대상 해킹 시도 633건

2011∼2020년 세계 10대 금융해킹
절반이 北 연계 조직 소행 드러나

2018년 日 가상자산 5억달러 탈취
2016년 인도 유니온은행 등 털어

유엔 제재 대상 정찰총국이 주도
김수키· 라자루스 등 조직과 연루

국가 핵심 연구시설들이 최근 배후로 북한이 추정되는 해킹조직의 공격을 받았다. 국내 유일의 원자력 종합연구개발 기관인 한국원자력연구원과 KF-21 ‘보라매’ 전투기 개발을 주도하는 한국항공우주산업(KAI) 등의 내부자료가 해킹으로 유출됐다. 의료 관련 정보가 보관된 서울대병원 네트워크도 뚫렸다. 일련의 북한의 전방위 해킹 공격이 위험 수위에 달했다는 우려가 커지고 있다.

◆온라인에 있는 건 모두 해킹하는 북한

북한의 적극적인 해킹 활동은 이전에도 지속돼 왔지만, 최근엔 핵·미사일 개발에 따른 국제사회의 대북 제재로 경제적 어려움이 가중되면서 한국과 서방측을 노린 북한의 해킹 공격은 더 적극적으로 변했다. 자금 탈취와 정보 획득을 동시에 노리는 모양새다.

북한 해커의 주요 표적은 금융이다. 금융기관은 막대한 자산을 운용하지만 군이나 정보기관보다 보안시스템이 허술하다. 특히 가상화폐는 금융당국 등의 중개 없이 거래가 이뤄지는 만큼 정부의 규제와 개입이 어렵다는 점을 악용하는 모양새다.

영국의 가상화폐 소개 사이트 ‘트레이더스 오브 크립토’에 따르면, 2011~2020년에 벌어진 10대 금융해킹 사건 가운데 절반이 북한 연계 해킹조직의 소행으로 드러났다. 북한 연계 해킹조직은 2018년 일본 가상화폐거래소인 코인체크에서 5억3400만달러 규모의 가상자산을 탈취한 사건, 2016년 인도 유니온 은행과 나이지리아 은행 해킹의 주범으로 지목됐다.

유엔 안전보장이사회 산하 대북제재위원회 전문가패널은 지난 4월 보고서에서 “북한과 연계된 해커들이 핵·미사일 개발을 지원하기 위해 금융기관과 가상화폐거래소를 대상으로 해킹작전을 계속했다”고 밝혔다. 보고서는 북한이 “2019년 7월과 9월 각각 27만2000달러와 250만달러 상당의 알트코인(비트코인을 제외한 다른 가상화폐들)을 해킹한 직후 이를 중국의 비상장 거래소를 이용해 비트코인과 이더리움으로 환전했다”고 전했다.

 

기밀정보를 노린 해킹 시도도 끊이지 않는다. 통일부를 대상으로 한 해킹 시도는 지난해 633건에 달했다. 본격적인 공격을 위해 시스템의 취약점을 미리 파악하려는 시스템 정보수집 유형이 310건으로 가장 많았고, 해킹 메일 유형이 265건이었다. 통일부는 사이버 공격 주체가 북한인지에 대해서는 유보적인 입장이지만 대북 정책 주무부서라는 점에서 북한과 연계됐을 가능성이 높다.

방위·항공우주산업에 대한 사이버 공격도 지속되고 있다. 유엔 대북제재위 전문가패널은 보고서에서 “북한의 사이버 행위자들이 세계 방위산업체들을 겨냥한 공격을 수행한 것은 2020년의 트렌드”라고 지적했다.

지난해 이스라엘 국방부는 구인·구직을 위한 올라인 플랫폼 ‘링크드인’을 이용, 이스라엘 방산업체 관계자들에게 접근하려는 시도를 적발, 차단했다. 이 해킹은 북한과 연계된 해킹 조직인 라자루스의 소행으로 알려졌다. 라자루스는 지난해 유럽 방위 및 항공우주산업체를 겨냥한 해킹 시도에도 관여했다는 혐의를 받고 있다.

◆김수키·라자루스·안다리엘까지…북한의 해킹조직들

해킹 공격을 주도한 것은 유엔 제재 대상인 북한 정찰총국이 지목되고 있다. 정찰총국은 2009년 노동당 작전부와 35호실, 인민무력부(현재의 인민무력성) 정찰국을 통합한 조직이다.

정찰총국은 김수키, 라자루스 등의 해킹조직과 연루되어 있다. 김수키는 북한 해킹 조직 중 가장 유명한 그룹이다. 스피어 피싱(이메일에 악성코드를 심은 문서나 링크를 걸어놓는 해킹) 등의 공격으로 정보를 빼낸다. 2014년 한국수력원자력 해킹 사건이 대표적이다. 지난달 발견된 통일부와 통일연구원을 사칭한 이메일 해킹 공격도 이들의 소행으로 추정된다.

2009년부터 활동을 본격화한 라자루스는 2014년까지는 한국과 미국을 집중 공격했다. 2015년부터는 외화 획득을 위한 글로벌 차원의 해킹도 병행하고 있다.

미 재무부는 2019년 발간한 대북제재보고서에서 2017년에 전 세계 컴퓨터에 랜섬웨어를 심어 큰 피해를 입힌 워너크라이 사건에 라자루스가 개입했다고 지적했다. 당시 150개국에서 랜섬웨어 악성코드 감염 사례가 발견됐고, 30만대의 컴퓨터가 셧다운됐다. 2014년 미국 소니픽처스 해킹 사건의 주범으로도 지목되어 있다.

라자루스의 하부 조직인 블루노로프는 2014년에 활동이 처음 포착됐다. 금융기관과 가상화폐거래소 등을 해킹해 경제적 이익을 얻는다. 방글라데시와 인도, 멕시코, 파키스탄, 필리핀, 한국, 대만, 터키, 칠레, 베트남 등을 대상으로 해킹 공격을 감행한 것으로 알려졌다. 또한 11개국, 16개 이상의 금융기관과 가상화폐거래소를 성공적으로 해킹했다.

 

안다리엘은 방위산업체, 정치기구, 연구소 등을 해킹해서 기밀자료를 빼냈다. 2016년 한민구 당시 국방부 장관 집무실의 개인 컴퓨터와 국방부 인트라넷을 해킹했다. 최근 발생한 한국항공우주산업(KAI) 해킹도 안다리엘의 소행이라는 관측이 적지 않다.

자금 탈취를 위한 활동도 이어지고 있다. 안다리엘은 도박사이트를 해킹하기 위한 악성코드를 개발했다. 또한 현금자동입출금기(ATM)를 해킹해 현금을 인출하고, 암시장에서 해당 은행 고객 정보를 판매하려 했다.

북한 해킹 조직에 의한 피해가 늘어나자 국제사회의 우려 목소리도 커지고 있다. 유엔 안보리 산하 대북제재위는 관련 보고서에서 “추가적인 대북 제재가 이뤄진다면 안보리가 사이버 공격의 심각성에 초점을 맞출 것을 권고한다”며 “가상화폐거래소를 비롯한 비(非)은행 금융기관까지 포함해야 한다”고 지적했다.


[ⓒ 세계일보 & Segye.com, 무단전재 및 재배포 금지]