'北 해커' 박진혁·조명래 누구?…韓, 첫 사이버 제재 명단 보니

김지훈 기자 2023. 2. 11. 06:36
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
[the300]

사진=소니픽스 홈페이지 메인 화면 캡처

사진=소니픽스 홈페이지 메인 화면 캡처

#북한 조선엑스포합영회사 소속 해커 박진혁은 2014년 미국 할리우드 5대 메이저 스튜디오인 소니픽쳐스를 해킹했다. 2017년에는 전 세계적인 피해를 안긴 '워너크라이 랜섬웨어' 공격 등에 가담했다. 랜섬웨어란 타인의 컴퓨터를 불법 장악해 문서·이미지 등 데이터를 암호화하는 악성 프로그램이다. 해커들이 데이터 정상화 명목으로 '랜섬'(ransom ·몸값)을 요구해 왔던 것이 어원이다.

우리 정부가 10일 발표한 첫 사이버 분야 대북 독자 제재 명단에 실린 제재 대상이 받는 혐의다. 정부는 불법 사이버 활동을 통해 북한의 핵·미사일 개발 자금을 조달했다는 혐의로 북한 개인 4명과 기관 7개를 독자 제재 대상으로 지정했다. 국가정보원은 이날 미국 정부와 합동으로 사이버 보안 권고문을 발표했다. 북한 사이버 공격에 대해 한미가 대응 수위를 높이고 있다.

"제재 대상과 거래하려면 한은 총재 허가받아야"…무슨 사건 관련됐길래

이날 외교부에 따르면 개인 제재 대상은 박진혁·조명래·송림·오청성으로 해킹 등 사이버공격에 가담했거나 IT(정보기술) 프로그램 개발 등으로 외화벌이에 관여한 인력이다. 제재 명단을 보면 박진혁 외에 '북한 원조 해커'로 알려진 정찰총국 산하 컴퓨터기술연구소장인 조명래가 포함됐다. 전산망 공격형 컴퓨터 바이러스로 본인 이름의 이니셜을 딴 것으로 보이는 'JML 바이러스' 개발자로 지목됐다.

제재 대상인 송림은 스마트폰용 보이스 피싱앱을 제작·판매했고 국방성 소속 IT 인력인 오충성은 UAE(아랍에미리트) 두바이 등지에서 구인플랫폼을 통해 다수 회사에 IT 프로그램을 개발·제공한 것으로 나타났다.

/자료=외교부

/자료=외교부


제제대상 기관은 정찰총국 산하 조직·기관 6곳인 조선엑스포합영회사·라자루스그룹(Lazarus Group)·블루노로프(Bluenoroff)·안다리엘(Andariel)·기술정찰국·110호 연구소와 사이버 전문인력 양성·송출에 관연한 지휘자동화대학(미림대학)이다.

이 가운데 조명래·송림·오충성 등 개인 3과 기술정찰국·110호연구소·지휘자동화대학 등 기관 3곳은 우리 정부가 세계 최초로 제재 대상에 올린 것이다. 외교부는 "여타 국가들이 제재대상으로 지정하지 않은 배후 조직과 인력 양성기관까지 북한의 사이버 활동 전반을 포괄적으로 제재함으로써 제재 효과를 한층 더 높일 수 있을 것"이라고 했다.

이번 조치는 외국환거래법과 테러자금금지에 따른 것이다. 제재대상과 외환거래 또는 금융거래를 하기 위해서는 한국은행 총재 또는 금융위원회의 사전 허가를 받아야 한다. 미허가 거래자는 관련법에 따라 처벌받을 수 있다. 금융위의 사전 허가 없이 제재 대상과 가상 자산을 거래하는 것도 금지된다.
北 해킹 주의보…랜섬웨어로 타격하고 정상화에 암호화폐 요구

한미 정보기관 합동 보안 권고문. /자료=국가정보원

한미 정보기관 합동 보안 권고문. /자료=국가정보원
국정원은 이날 미국 국가안보국(NSA)·연방수사국(FBI) 등 정보기관과 합동으로 북한의 사이버공격 위협 실태를 알리고 이를 예방하기 위한 보안 권고문을 발표했다. 한미 정보기관이 합동 보안 권고문을 발표하는 것은 이번이 처음이다.

국정원은 "최근 북한은 외화벌이 및 금전 탈취를 목적으로 세계 각국의 의료·보건 등 각 분야 주요 기관에 대한 악의적 사이버 활동에 집중하고 있다"며 "공격 주체(북한)를 은닉하고 추적을 회피하기 위해 지속해서 랜섬웨어 및 가상자산을 악용하고 있다"고 했다.

권고문에 따르면 북한 및 북한 연계 해킹조직은 위장 도메인·계정을 만든 뒤 가상 사설망(VPN) 등을 이용해 해킹 대상 기관의 네트워크를 공격한다. 이후 악성코드를 활용해 시스템을 파괴·변조·암호화하고 정상화를 조건으로 암호화폐 등 가상자산을 요구하고 있다.

국정원은 이러한 북한의 랜섬웨어 공격을 사전에 탐지·차단 할 수 있도록 관련 IP(지식재산권) 주소·파일명 등 '침해지표'(IOC)를 공개했다.

국정원은 "북한이 해킹으로 벌어들인 암호화폐를 북한의 국가 우선순위와 정보 목표 달성을 위해 사용하고 있다는 게 한미 정보기관의 판단"이라며 "랜섬웨어에 감염되면 회복을 위해 돈을 지불하더라도 데이터의 복구는 보장할 수 없다"고 했다.

이와 관련한 상세 내용은 국가사이버안보센터 홈페이지에서 확인할 수 있다. 국정원 관계자는 "국정원은 앞으로도 사이버공격 피해 예방과 선제 대응을 위해 유관국·기관과 긴밀하게 공조 대응해 나가겠다"고 말했다.

김지훈 기자 lhshy@mt.co.kr

<저작권자 ⓒ '돈이 보이는 리얼타임 뉴스' 머니투데이, 무단전재 및 재배포 금지>

Copyright © 머니투데이 & mt.co.kr, 무단 전재 및 재배포 금지

이 기사에 대해 어떻게 생각하시나요?
머니투데이에서 직접 확인하세요. 해당 언론사로 이동합니다.