3천명이던 北사이버 전사
7년만에 6800명으로 확대
청와대에 "김정은 만세" 띄우고
4800㎞밖 인도 ATM 탈취도
태영호의원 카톡 싹 다 털려
고위공직자 PC해킹하려
지인 이메일 계정 공격
악성코드 심어 재전송
IoT 보급에 스마트홈 위험
사이버보안청 신설 필요
올해 들어 북한이 지난 18일까지 미사일을 4차례나 발사하면서 무력시위를 하고 있는 가운데 보안업계를 중심으로 진짜 북한의 위협은 '사이버해킹'이라는 의견이 나오고 있다. 북한의 미사일 발사는 핵무기 과시용이란 정치적 측면이 크지만 북한의 사이버 해킹은 이미 국내외에 전방위적으로 퍼져 있어서 각종 국가 안보상의 기밀을 탈취하고, 심지어 가상화폐 거래소 탈취를 통한 금전적 이득까지 보고 있기 때문이다.
실제로 미국의 블록체인 분석업체 체이널리시스는 최근 보고서를 통해 "북한이 지난해만 약 4억달러(5000억원)에 달하는 가상화폐를 해킹했다"고 밝힌 바 있다. 보고서는 북한이 가상화폐 거래소에서 알트코인과 이더리움, 비트코인 등 여러 코인을 섞어서 세탁을 하고 있으며, 사용자 정보를 추적하지 않는 '디파이 플랫폼'을 주로 이용하고 있다고 적시했다. 북한의 사이버 해킹 수법이 갈수록 진화하고 있는 것이다.
◆ 김정은 집권 후 불붙은 北 '사이버해킹'
'김수키' '라자루스' '블루노로프' '안다리엘' 등이 바로 정찰총국 내 북한 해커조직 별칭이다. 2020년 국방백서에서는 북한 정부에 소속된 사이버 해커가 약 6800명으로 2013년(3000명)에 비해 2배 이상 증가했다고 적시됐다. 보안업계에서는 핵심 인력인 '슈퍼브레인' 수십 명이 일상적으로 해킹을 하고, 나머지 수천 명의 요원이 해커가 수집한 정보를 분석하는 형태로 움직이고 있다고 추정하고 있다. 정찰총국 소속 사이버 해커들은 그동안 국내외적으로 존재감을 과시해왔다. 국내에서는 2009년 7월 7일 이른바 '7·7 디도스 공격'(대한민국·미국 주요 정부기관, 은행 등을 공격)이 시발점이었다.
이후 2011년 4월 농협 전산망 마비, 2013년 발생한 6·25 사이버테러(당시 청와대 홈페이지에 '통일 대통령 김정은 장군님 만세!' 문구 노출)가 대표적인 예다.
6·25 사이버테러는 국내 해커들도 북한 사이트에 대한 해킹을 시도해 '첫 사이버전'이란 평가를 받는다. 2019년 10월 태영호 전 영국 주재 북한공사(현 국민의힘 의원)가 스마트폰 해킹을 당해 카카오톡·문자 내용을 탈취당한 것도 유명한 해킹 사례다.
해외 공격 사례도 즐비하다. 2014년 북한 체제를 조롱한 영화('인터뷰')를 제작한 미국 소니픽처스를 해킹한 것, 2016년 방글라데시 중앙은행 해킹(8100만달러 절취), 2017년 랜섬웨어 '워너크라이' 유포, 2019년 인도 현금인출기 공격 등이 대표적이다.
북한의 주요 해킹 대상은 은행과 가상화폐 거래소 등 경제 관련 기관 혹은 청와대, 방위사업체 및 외교·안보·국방 정부 고위직 인사 등 국가 안보와 관련된 곳이다. 국정원은 최근 '2021 사이버안보센터 연례보고서'를 발간하며 △대선 관련 안보현안·정부정책 정보 △주요 사회기반시설·정보기술(IT) 인프라 △민간·공공 클라우드 △바이오·방산 등 첨단산업 및 신기술정보 등이 올해 국가 배후 해킹조직의 주요 공격 대상이 될 것으로 내다봤다.
◆ 북한이 단골로 쓰는 해킹 '5대 수법' 있다
북한의 해킹 시도는 국내외에 전방위적으로 퍼져 있어서 그동안 드러난 사실은 '빙산의 일각'이란 게 보안업계 시각이다. 공공부문·은행 등 주요 대상을 향한 해킹 시도만 드러날 뿐 민간에 얼마나 해킹을 시도했는지 파악조차 안 되기 때문이다.
북한발 해킹 전문가인 문종현 이스트시큐리티 ESRC 센터장은 이 같은 북한의 해킹 흐름에 대해 "5가지로 요약할 수 있다"고 설명했다. 가장 많이 사용되는 해킹 수법은 이메일 스피어피싱(Spear Phishing)이다.
주고받는 메일에 악성코드를 심어놔서 해당 메일을 열면 감염되게 하는 고전적 수법이다. 다만 이 수법도 최근에 진화했다. 워낙 이메일을 통한 해킹 시도가 많자 정부 고위당국자들이 '낚시성 이메일'을 거르는 사례가 많아졌다. 이에 북한 해커들은 고위 당국자와 교류하는 A라는 지인의 메일을 사전에 해킹해 A가 고위 당국자에게 보내는 메일을 '전송 취소'시키고 다시 똑같은 내용에다가 악성코드를 심은 '첨부파일'을 붙여 보내는 치밀함을 보이고 있다. 문 센터장은 "이 경우 고위 당국자가 지인에게 이메일 전송 여부를 사전에 확인하더라도 결국 악성코드에 감염될 수밖에 없는 것"이라고 설명했다.
두 번째 수법은 워터링홀(Watering Hole) 공격이다. 해킹 목표 대상자가 자주 방문하는 사이트에 악성코드를 심어놓아서 이들이 해당 사이트를 방문할 때 악성코드를 감염시키는 방식이다. 웹서핑을 한 번만 해도 자신이 모르는 사이에 악성코드에 감염되기 때문에 대응하기가 어렵다. 보안업계에서는 이 때문에 "웹사이트 보안 자체를 강화해야 한다"는 목소리가 커지고 있다.
세 번째 수법은 공급망 공격(Supply Chain Attack)이다. 소프트웨어의 여러 공급망 단계를 노리는 식이다. 이를테면 북한은 2020년 지자체와 지방교육청 등 공공기관에 주차요금 정산 서비스를 제공하는 B업체를 해킹한 바 있다. 공공부문과 접점에 있는 '얕은 단계'를 먼저 해킹해서 본체(공공부문)에 침투하는 전략이다.
네 번째 수법은 개인 사회관계망서비스(SNS) 공격이다. 고위 당국자의 페이스북, 트위터, 카카오톡 등 SNS가 해킹 타깃이다. 문 센터장은 "아름다은 여성 프로필로 위장해서 미인계를 쓴다든지 혹은 학생인 척 위장해 외교안보 쪽 공부를 하고 싶다고 하면서 국가안보를 담당하는 고위직 인사에게 접근하는 경우가 많다"고 설명했다.
마지막은 스마트폰 단말기 해킹이다. 주로 개방성을 무기로 한 안드로이드 기반 스마트폰이 해킹 타깃으로, 스마트폰 자체를 해킹해서 도청을 전개하는 식이다. 통화녹취, GPS 위치추적, 카메라 해킹 등이 가능하다. 고위급 탈북자인 태영호 의원이 북한 해커로부터 이 같은 방식의 스마트폰 해킹을 당한 바 있다.
◆ 국가사이버안보청 신설해야
더 큰 문제는 사물인터넷(IoT) 등으로 전자기기, 자율주행차 등 사물이 연결되면서 해커들의 공격 대상이 광범위하게 넓어지고 있다는 점에 있다. 국정원 역시 지난해 사이버 위협 현황을 서술하며 "IT제품 취약점을 악용해 기관 내부에 침투하는 공급망 공격이 증가했다"고 평했다.
아직까지 북한과의 접점은 없지만 최근 연이어 발생한 아파트 월패드 해킹, CCTV·무선공유기 등 IoT 기기를 통한 공공기관 해킹 시도 등에 북한이 적극 나설 수 있다는 것이다. 보안업계에선 "일반인의 개인 비밀정보를 탈취해 약점을 잡은 뒤 이를 이용해 일반인을 간첩으로 활용할 수 있다"는 가능성도 제시된다.
국정원은 북한 등에서 비롯된 사이버 위협에 대응하기 위해 공공부문 및 주요 IT기업 전산망의 보안진단을 실시하고 IT제품에 대한 보안인증, 사이버 안보교육 등에 나서고 있다. SK텔레콤·KT·LG유플러스 등 통신 3사는 양자암호 등 신암호 체계를 개발하며 보안 요구에 부응하고 있다. 안랩·파수·이스트시큐리티·라온시큐어 등 민간 분야 보안업체들도 해킹 시도들을 일상적으로 모니터링하고 보안 패키지를 주기적으로 업데이트하며 대응하고 있다. 하지만 갈수록 고도화되는 북한 해커들의 조직적 움직임을 파악하기엔 아직 역부족이란 평이다.
이 분야 권위자로 꼽히는 문 센터장은 "국정원 국가사이버안보센터는 공공기관을 잘 대응해 주고 있어서 큰 문제는 없지만, 북한이 민간 대상 공격을 집중적으로 하고 있어 민간분야의 별도 조직인 국가사이버안보청 설립이 필요하다"고 밝혔다.
_(1).jpg?type=nf190_130)
