김수키·라자루스·안다리엘 … 對南 공격 시도 하루 100만건 [심층기획-AI시대, 사이버 안보 이대로 괜찮은가]

(1회) 북한발 사이버 공격, 실태와 전망
北 해킹기술 고도화… 배후에 정찰총국
불법 활동으로 정보 빼내고 외화벌이
민간 소프트웨어·운영체계 허점 노려
팬데믹 이후 기존과 다른 움직임 포착
우방국 러 방산업체 노린 사례도 있어
동남아 마약 밀매 조직과 연계 의혹도

북한의 사이버 공격이 위험 수위를 넘고 있다. 공격 횟수가 증가하고 수법도 정교해지는 모양새다. 21일 정보 당국이 최근 국회에 보고한 자료에 따르면 북한이 2023년 상반기 한국을 상대로 시도한 사이버 공격만 하루 평균 90만∼100만건에 달한다. 온라인 공간에서 북한의 사이버 공격은 전에도 끊이지 않고 계속됐지만, 최근엔 더욱 적극적인 양상을 띠고 있다. 공격 기술도 한층 고도화했다는 평가를 받는다.

◆온라인에 있는 건 다 훔치는 북한

북한의 사이버 공격은 정찰총국이 관장한다. 북한군 총참모부 산하 기관으로 대남·해외 공작을 총괄한다. 김수키·라자루스·안다리엘 등 북한 해킹 조직의 배후로 불법 사이버 활동을 통해 외화벌이와 정보 탈취를 주도한다.

지난해 11월 경찰청 국가수사본부는 북한 해킹 조직 김수키의 활동을 추적, 내국인 1468명의 이메일 계정이 탈취된 사실을 확인했다고 밝혔다. 안보 분야 전·현직 공무원 등 전문가 57명, 일반인 1411명이 피해를 봤다.

김수키는 국내외 서버 576대를 경유해 IP주소를 바꾼 뒤 정부기관·기자·연구소를 사칭해 피싱 이메일을 발송했다. 수신자가 이메일에 첨부된 파일을 열면 PC 내부 정보를 빼내는 악성 프로그램을 심었다. 김수키는 사칭 이메일 피해자 중 19명의 가상자산거래소 계정에 접속해 가상자산 절취를 시도했으나 실패했다. 다만 해킹으로 장악한 서버 147대에서 가상자산 채굴 프로그램을 관리자 몰래 실행함으로써 100만원 미만을 채굴했다. 김수키는 북한 해킹 조직 중 가장 유명한 그룹으로 2010년대 초부터 사이버 공격을 벌여 왔다. 군사기술 등을 주로 탈취해 온 안다리엘도 2022년 12월부터 지난해 3월까지 국내 연구소와 방산업체 등 수십여곳을 해킹, 레이저 대공무기 등 기술 자료 1.2TB(테라바이트) 분량의 데이터를 절취했다.

민간에서 쓰는 소프트웨어(SW)와 운영체계(OS) 허점을 노린 사이버 공격 징후도 포착됐다. 국가정보원 국가사이버안보센터(NCSC)는 지난해 11월 영국 정부통신본부(GCHQ) 국가사이버안보센터(NCSC)와 공동으로 북한 해킹 조직이 소프트웨어(SW) 공급망 제품을 노린 해킹 수법을 확인했다고 밝혔다. 북한 해킹 조직은 웹사이트를 해킹한 후 취약점 공격 코드를 숨겨 두는 워터링 홀(Watering hole) 수법으로 기관 인터넷 PC를 확보, 보안인증 SW와 망연계 시스템 취약점을 이용해 내부망에 접근해 자료 절취를 시도했다. 항공우주·의료 분야 60만개 기업과 기관이 사용하는 화상통신 SW ‘3CX 데스크톱 앱(애플리케이션)’ 개발 과정에도 침투, 3CX 설치 프로그램에 악성코드를 심은 뒤 3CX 공식 웹사이트를 통해 다른 사람들의 PC를 감염시킴으로써 계정 정보 등을 탈취했다. 지난해 3월에는 북한이 국내 유명 금융보안인증서 업체의 SW 취약점을 노려 국내외 주요 기관 60여곳의 PC 210여대를 해킹한 사실도 드러났다.

북한이 애플 컴퓨터 OS(맥OS)를 노렸다는 분석도 나온다. 맥OS가 폐쇄적 운영 체제를 갖춰 해킹에서 상대적으로 안전하다고 생각하는 사용자들의 인식을 역이용한 것이다. 미국 정보기술 보안업체 센티넬원은 지난해 11월 보고서에서 북한 해킹 조직 블루노로프가 최근 맥OS에 특화한 악성코드를 심어 사이버 보안업체와 암호화폐 거래소를 해킹하는 수법을 사용한 것이 드러났다고 밝혔다. 블루노로프는 가상자산 관련 공격 등을 수행하는 것으로 알려졌다.

유엔 안전보장이사회 산하 대북제재위원회 전문가 패널은 지난해 10월 보고서에서 “북한이 자금과 정보를 빼내기 위해 갈수록 더 정교한 사이버 기술을 이용하고 있다”며 “가상화폐, 국방, 에너지, 보건 분야 회사들이 표적이 됐다”고 분석했다.

사진=AFP연합뉴스

◆전과 다른 해킹 시도 가능성

북한의 사이버 공격은 기존과는 다른 양상을 보일 가능성이 크다. 구글 산하 사이버 보안업체 맨디언트는 지난해 10월 보고서에서 “신종 코로나바이러스 감염증(코로나19) 대유행 직후 북한의 기존 해킹 조직 임무에 변화가 포착됐다”며 “외부에 알려진 북한 해킹 조직들이 최근 전례 없이 긴밀하게 협력하고 있다”고 분석했다. 북한이 기존 방식대로 움직이지 않을 것이라는 뜻이다.

실제로 북한 해킹 조직이 우방국을 노리는 사례도 등장했다. 라자루스는 2021년 말부터 지난해 5월까지 러시아 방산업체 NPO 마시노스트로예니야(NPO 마시)의 방화벽을 뚫은 것으로 알려졌다. 해킹에는 한국어를 쓰는 해킹 조직 스카크러프트도 관여한 것으로 보인다. NPO 마시는 냉전 시절 탄도·순항미사일과 대륙간탄도미사일(ICBM), 우주발사체 개발에 관여했다. 현재는 극초음속미사일과 위성 등 개발을 선도한다. 러시아 우주연구소와 연계된 민간 위성업체 스푸트닉스와 전차 제조업체 우랄바곤자보드, 지대공미사일 업체 알마즈-안테이도 해킹한 것으로 알려졌다. 북한 무기의 규격은 러시아와 유사해 러시아 기업을 해킹하면 즉각 활용 가능한 기술을 얻을 수 있다.

북한 해커들이 동남아시아 마약 밀매 조직과 연계하고 있다는 의혹도 나온다. 유엔 마약범죄사무소(UNODC)는 지난 15일 보고서에서 라자루스를 포함한 북한 해커들이 미얀마, 태국, 라오스, 캄보디아 등 메콩강 지역에서 마약 범죄 조직들과 돈세탁 망을 공유하는 사례를 여러 건 포착했다고 밝혔다.

박수찬 기자 psc@segye.com