• 최종편집 2024-03-28(목)
 
사이버사진.png▲ 지넷 맨프라 미국 국토안보부 사이버안보 담당 차관보가 지난해 12월 19일 백악관에서 워너크라이 랜섬웨어 공격의 배후는 북한이라고 밝히고 있다.
 

북한 해커, 급격한 실력 향상과 다양한 표적 노려...세계 최고 실력 갖춘 ‘해킹 머신’으로 성장 중

북한의 비핵화에 관심이 집중되는 사이, 사이버 위협은 갈수록 거세지고 광범위한 양상으로 변모

(안보팩트=송승종 대전대 교수)

트럼프 미국 대통령과 김정은 북한 국무위원장 간에 벌어질 ‘세기의 정상회담’을 앞두고, 갈수록 대담해지는 북한 해커들의 위험성을 알리는 경고음이 잇따라 울리고 있어 주목된다.

최근 월스트리트저널(WSJ)은 “어떻게 북한 해커들의 실력이 위험할 정도가 되었나(How North Korea’s Hackers Became Dangerously Good)”라는 장문의 특집기사를 통해, 오랫동안 중급 수준의 사이버 위협으로만 알려졌던 북한의 ‘사이버 군단(cyber army)’이 전 세계 최고의 실력을 갖춘 ‘해킹 머신’으로 조용히 성장해 가고 있다고 전했다.

지난 18개월 동안 북한이 사이버 해킹을 저지른 족적(fingerprint)이 뚜렷한 상승 추세를 보이면서 해커들의 실력이 급격히 향상되고, 이들이 노리는 표적들도 갈수록 다양화되고 있다. <그림 1>과 <그림 2>에 등장하는 ‘라자루스 그룹(Lazarus Group)’은 북한의 해커집단이다. <그림 1>은 사이버보안 업체들이 북한 해커집단을 분기별로 언급한 횟수가 지난 2년 사이에 급격히 증가했음을 보여준다. <그림 2>는 북한 해커들이 거론된 누적 회수가 5대 집단 중에서 2위를 기록하고 있음을 알려준다.

<그림 1> 매 분기별로 사이버보안 업체들이 언급한 5대 해커집단들의 명칭



<그림 2> 2015년 4/4분기~2018년 1/4분기 동안, 5대 해커집단들의 해킹 횟수

지난 몇 년 동안, 사이버보안 전문가들은 북한을 2류 수준의 해킹집단으로 간주하여, 성가시기는 하지만 비교적 그 수법을 쉽게 ‘해독(decode)’할 수 있는 것으로 평가했다. 사실 이들은 북한의 실력을 러시아, 이스라엘, 미국 같은 국가보다 한수 아래라고 보았는데, 갑자기 이런 판단에 변화가 생긴 것이다.

사이버 전문가들은 북한 해커들의 독창적인 코딩 및 해킹 기법에 경악하고 있다. 뿐만 아니라 북한 해커들은 대담하게도 사이버 보안 수준이 높기로 정평이 난 중앙은행이나 기업의 판매 매장(point-of-sales)을 직접 노리고 있다. 트럼프 행정부가 북한 핵 프로그램의 폐기에 박차를 가하는 시점에, 김정은 정권은 해킹을 통해 국제사회의 제재 조치로 초래된 경제적 손실을 만회하고자 외국의 금융기관들을 표적으로 삼고 있다.

WSJ에 의하면, 북한 정부는 유망한 학생들을 11살 때부터 발탁하여 엘리트 해커들로 키우는 등, 올림픽 선수를 양성하듯이 엘리트 해커들을 조직적이고 체계적으로 육성한다고 알려졌다.

작년 11월에 유동열 자유민주연구원 원장도 상기 보도와 유사한 맥락에서, 북한이 해외를 통해 한국을 겨냥하여 사이버공격을 저지르는 횟수가 매일 150만 건, 매초 20여회에 이른다고 경고했는데, 이 숫자는 민간시설에 대한 공격을 제외한 것이다. 그는 2016년 말 현재 북한의 사이버 전력을 약 6,800명(작전요원 1,700명, 기술지원 5,100명)으로 추산하였다.

북한은 ‘어도비 플래시 멀티미디어 플레이어(Adobe Flash multimedia player)’ 같이 대중적 인지도가 높은 소프트웨어에서 보안 취약점이 최초로 발견되면, 바이러스 퇴치 프로그램이 탐지할 수 없을 정도로 정교한 악성코드를 퍼뜨려 그 약점을 이용한다. 또한 사이버보안 기업들이 이런 허점을 보완하기 위한 패치 프로그램을 개발하면, 애플이 아이폰 운영체계의 업데이트를 제공하는 방식을 흉내 내어, 단 며칠 또는 몇 주일 만에 업데이트 버전의 바이러스를 퍼뜨리고 있다고 WSJ는 전했다.

놀랍게도 대부분의 북한 해커들은 영어실력이 출중하여 자신들이 마치 다른 나라 해커인 것처럼 사이버공간에서 신분을 위장한다. 하지만 이들의 치명적 약점은 바이러스와 코딩 속에 그 흔적을 남긴다는 점이다. 예를 들어, 이들은 오직 북한에서만 통용되는 북한식 단어를 사용하고, 평양의 해킹과 연계된 것으로 널리 알려진 데이터 서버를 사용하며, 또 북한 해커들로 지목될 수 있는 사용자 이름(user name)이 포함된 파일명을 만들고 있다.

WSJ에 의하면 북한의 사이버 해킹 실력은 김정은이 권력을 장악한 2011년부터 미사일 개발기술과 함께 급속도로 향상되고 있다. 그런데 사이버 전문가들은 북한의 사이버 공격이 명확한 목표를 지향하지 않는 점을 지적한다. 이들에 의하면 북한 해커들은 마치 적들의 약점을 이리저리 뒤적이거나 현찰을 뜯어낼 기회만 노리는 조직범죄 집단처럼 행동한다는 것이다.

금년 2월말, 인터넷 매체인 ‘복스(Vox)’도 “북한은 어떻게 비트코인을 사용하여 미국의 제재조치를 피하고 있나(How North Korea uses bitcoin to get around US sanctions)”라는 기사에서, 북한이 비트코인 같은 가상화폐를 해킹하여 해마다 최대 2억 달러에 이르는 경화(hard currency)를 도둑질하고 있다고 보도했다. Vox의 보도가 사실이라면, 설령 대북 제재조치가 지속되더라도 북한은 사이버공간에서 절취한 가상화폐로 얼마든지 핵·미사일 프로그램을 추진할 수 있다는 결론이 나온다.

그런가 하면 미국의 의회전문 매체인 ‘더 힐(The Hill)’도 “갈수록 대담해지고, 갈수록 능력이 향상되는 북한 해커들(Increasingly brazen North Korean hackers growing capable)” 제하의 기사에서, 지난 2년 동안 북한 해커들의 실력이 놀라운 속도로 발전했다고 지적했다.

특히 ‘더힐’은 지난 몇 개월 동안 북한 해커들의 행적을 추적한 끝에, 이들이 국제 표적(international targets)들을 공격하려는 의지(willingness)와 의도(intention)와 능력(capability)이 입증되었다고 강조했다. 이 기사는 사이버보안 전문업체인 맥아피(McAfee)의 보고서를 인용하여, 북한은 17개 국가의 핵심적 인프라, 금융기관, 정보통신회사 등을 노린다고 경고했다.

맥아피는 북한이 최근에 전개한 일련의 해킹공격에 “고스트시크릿 작전(Operation GhostSecret)”이란 명칭을 붙였는데, 이 작전의 주요 표적은 터키의 금융 부문이었다. 금년 3월 사이버 전문가들이 해킹 공격을 인지하자, 북한 해커들은 더욱 새롭고 정교한 해킹 도구를 사용하여 재빨리 공격의 방향을 아시아-태평양, 유럽 및 미국으로 전환시켰다.

상기 작전에서 사이버보안 업체들은 ‘히든 코브라(Hidden Cobra)’로 알려진 사이버 간첩단의 특징(hallmark)을 포착했는데, ‘히든 코브라’는 미국 정부가 북한 정부가 지원하는 해킹집단을 지칭하고자 만든 용어다.

하지만 임박한 미·북 정상회담에서 북한의 사이버 해킹이 의제로 제기될 가능성은 매우 낮다. 위험성이 경미해서가 아니라 당면한 최대의 현안이 북한의 비핵화이기 때문이다. 이와 같은 ‘사각지대’에서 북한의 사이버 위협은 갈수록 거세지고 광범위한 양상을 보일 것이다.

모두가 북한의 핵과 미사일에만 정신을 팔고 있는 사이에, 어느덧 사이버 공격의 칼날이 성큼 우리의 눈앞에 다가오고 있다.

송승종_200픽셀.jpg
 
대전대학교 군사학과 교수 (美 미주리 주립대 국제정치학 박사)
국가보훈처 자문위원
미래군사학회 부회장, 국제정치학회 이사
前 駐제네바 군축담당관 겸 국방무관: 국제군축회의 정부대표
前 駐이라크(바그다드) 다국적군사령부(MNF-I) 한국군 협조단장
前 駐유엔대표부 정무참사관 겸 군사담당관
前 국방부 정책실 미국정책과장
송승종 대전대 교수 기자 @ 이 기자의 다른 기사 보기
태그

전체댓글 0

  • 91368
비밀번호 :
메일보내기닫기
기사제목
[사이버 투시경] ⑩ 최고의 실력을 갖춘 북한 해커들, 위험한 '화약고'
보내는 분 이메일
받는 분 이메일