북한의 사이버 공격과 관련된 사례가
매일같이 뉴스에 등장하고 있다.
북한의 사이버테러 피해 사례는
미국, 유럽, 아시아 등지에서
속속들이 나오고 있다.
이번 포스팅에서는,
북한의 사이버 공격의 현황과 양상,
북한의 대표적 해커 조직,
이와 관련된 대응책에는
어떤 것이 있을지
소개하려고 한다.
1. 북한 사이버 공격 현황 및 사례
북한의 사이버 공격은
2004년부터 가시화되기 시작했다.
초기의 양상은 다소 단순하여
전문가들이라면
방어가 모두 가능한 수준이었다.
하지만 몇년 만에 사이버 공격 기술이 급성장하였다.
2008년부터 보이는 피해사례들에서 알수 있듯이,
대규모 인원을 타겟으로 할 수 있는
채팅이나, 자료공유 사이트 등을 통해
정보를 탈취하기 시작했다.
대표적인 피해사례로는
게임프로그램 접속자 개인정보 유출사건,
국내 유해화학물질 제조업체
위치정보 해킹 사건 등이 있다.
이렇게 악성코드를 담긴 프로그램이나
인터넷 망에 침투하여
다수의 정보를 빼내가는 사건들이 대부분이었다.
2011년부터는 공격대상이 더욱 더 확장되기 시작했는데,
국가기관, 언론, 금융기관 등의
사회기반시설을 목표로 장기간의 치밀한 준비를 거쳐
사이버 공격을 감행하기 시작하였다.
대표적으로 농협 전산망 마비 사태와,
육군사관학교 총동창회 홈페이지에 침투하여,
군사정보를 빼낸 사건 등이 있었다.
피해 규모가 몇년 전보다 커지기 시작하였다.
2014년부터 보인 사례들은
북한의 고도의 수법들을 보여주고 있는데,
대표적으로 고리˙월성 원전 사건이 있다.
이 사건은,
북한 해커 조직이 원전 컴퓨터에 침입하여
자료파괴형 악성코드를 심은 후에
원전 설계도와 직원 연락처 등
자료 84건 정도를 빼 간 사건이다.
이렇게 전력, 가스, 철도 등의 국가 주요 기반시설을
대상으로 한 사이버 공격까지 병행하여
남한의 사회적 혼란을 유발하려고하였다.
우리나라 말고 미국에서도 이러한 사건이 있었는데
다들 알만한 '소니 픽쳐스 해킹 사건'이다.
2014년에 김정은의 암살을
다룬 영화 '인터뷰'를 제작한
소니픽처스 영화사를 해킹한 사건으로,
이로 인해 미개봉영화나 임직원 연봉 등의
주요 정보들이 유출이 되었다.
북한은 점점 수법이 진화하여
최근까지는 암호화폐를 탈취에 주력하는
양상을 띄고 있다.
익명성을 보장한다는
북한입장에서의 최대 장점 때문인지
이를 많이 이용하고 있는 것이보이는데,
암호화폐로 약 5억 7100만 달러
한화 약 7000억원을 탈취한 것으로
추정된다고 한다.
국가기관이나 금융기관 같은 기반시설말고도
사적인 영역에서도
공격을 진행하고 있는데
전문기관이나, 비정부기구, 대학 등의 기관으로도
공격시도를 하는 것으로
보인다.
그 수법 또한 피해자를
쉽게 속일 수 있을 만한
기술을 사용하고 있어
일반인들이 해킹인 것을 알기에는
매우 어려워졌다.
특히 최근 사례들을 보면
이런 양상이 많이 나타난다.
위의 사례들을 보면,
악성 문서의 자체에
악성코드를 심어놓아서
이 문서를 다운받아
편집을 위해 클릭하는 사람들의
정보를 모두 빼갈 수 있게끔 되어있다.
또한 참가신청서나, 공지와 같은
그럴듯한 문서들을 링크로 걸어놓거나
이메일 계정 암호를 아예
입력하도록 하여
타겟의 모든 것을 알 수 있도록
공격을 시도한다.
최근에는 코로나19 발생 후에,
아스트라제네카와 같은 백신
제약회사들에 해킹 시도를
하기도 했다.
북한의 사이버공격의 특징은
직선적, 파괴적이라는 것인데,
이 파괴적 사이버 침투 및 공격은
눈에 상당히 잘 띄기 때문에
다른 해킹 조직들은 잘 쓰지 않는 방법이라 한다.
하지만, 포렌식과 추적을 어렵게
만든다는 점을 이용하고 있는 듯하다.
특히 경제재제 이후에는
사이버 공격의 양을 2배 이상으로 올리고,
정보 뿐만 아니라, 돈을 탈취하는 등의
행동도 보이고 있다.
북한의 공격기술은
날로 진화하여,
인터넷이 연결되지 않은 컴퓨터에서도
문서와 정보를 빼낼 수 있는 실력 또한
보유하고 있는 것으로 추정된다.
또한
테크놀로틱스가 발표한 자료에 의하면,
북한의 사이버전에 대한 의지는 세계 2위,
사이버공격능력은 세계 6위,
사이버 정보평가 능력은 세계 7위를
기록했다고 한다.
그리고 최근 몇년 간
북한의 사이버 공격의 횟수는 세계 4위에
등극했다고 한다.
국정원에 따르면,
최근 5년간 국가 공공기관에서
발생한 사이버 공격 피해 건수는
약 1만 1700여건으로
그 중에서도 7~80%가북한의 공격이다.
그 정도로 북한은
사이버전에 열을 올리고 있고
그 실력도 나날히 늘고 있어
사이버 안보에 대한 경각심이 필요한 상황이다.
2. 북한의 사이버 공격 수법
북한의 공격수법은
너무도 다양한 기술들이 있지만
크게 세가지로 볼 수 있다.
첫번째로, 랜섬웨어
랜섬웨어에 대해 많이 들어봤을 것인데,
랜섬웨어란,
컴퓨터 시스템이나 내부 데이터에
대한 접근을 차단하기 위해
만들어진 악성 소프트 웨어이다.
시스템이나 데이터에
침투하여 프로그램을
암호화하고,
이를 복구하는 대가로
피해자들에게 금전적 요구를 하는
해킹 형태라고 한다.
이 형태는 국제 긴급 경제권한법과
적성교역법을 전면 위반한다.
둘째, 스피어피싱
스피어피싱은 주로 전산망 침투를 하는 형태인데,
특정 단체나 개인을 목표로
악성 프로그램을 첨부한 메일을 보낸 후
타겟이 파일을 내려받는 순간
해당 전산망에
악성 프로그램이 깔리도록 설계한 것이다.
주로 사이버 공격에서 많이 보이는 수법이다.
셋째, 지능형지속위협(APT)이다.
이 수법은 특정 표적을 대상으로
같은 공격을 지속하는 수법이다.
이 수법의 한 예시로는
사회공학기법을 들 수 있는데
스피어피싱과 함께 많이 쓰이는 형태이다.
상호신뢰를 바탕으로
사람을 속여서 지속적으로 소통한 후
보안 절차를 무너뜨리는 기법이다.
예를 들 수 있는 사건이 하나 있다.
한국 기자를 사칭하여
한반도 전문가에게 인터뷰를 요청을 하여
악성파일을 인터뷰 참조용 자료로 둔갑시켜
표적이 된 전문가가 열어보도록
유도하는 사례가 있었다.
이렇게 다른 사람인 척 사칭을 하여
지속적인 믿음을 준 다음
악성코드를 심는 것이다.
이외에도 다양한 창의적 수법으로
피해자들을 양산해 내고 있다.
심지어는,
우리가 사이버공격 예방법이라고
일컫는 프로그램 업데이트나,
보안 프로그램들이 전혀 효과가 없는 공격도
한다고 한다.
이러한 다양한 수법들을 써가는
해킹 조직들은 어떤 것이 있을까?
3. 북한의 해킹 조직
먼저 해킹조직에 앞서서,
북한 해킹조직의 배후에는
북한 국가기관이 있다는 의심을
떨쳐서는 안된다.
물론 해킹조직과 정부기관의 관련성에 대해서는
분석가들마다 다르게 분석한다.
위의 조직도는 정찰총국 산하에
여러 역할을 갖는 해킹조직이 있다는 설을
바탕으로 한 것이다.
정찰총국은 북한 해킹조직의 배후에 있다고
강력하게 추정되는 국가 기구이다.
정찰총국은 총 6개국으로 이루어져 있으며
이 중 3국인 기술정찰국이
해킹조직들을 관리하는 것으로알려져 있다.
사이버지도국이나 121국 등으로 불리기도 한다.
121국 산하에
110연구소와, 라자루스,
안다리엘, 블루노로프,
전자전 교란 연대의 조직이있다.
110연구소는
2000년대 초반부터 영재들을 발굴하였고
컴퓨터 관련 집중 교육을 시키는 곳이다.
교육 후에는 해외로 파견시켜
사이버 공격의 최일선에 배치된 것으로 추정된다.
라자루스는
사회적 혼란이 목표인 조직이고,
안다리엘은
적으로부터의 정보를 수집하는 조직이며,
블루노로프는
금융사이버 범죄를 지휘하는 조직이다.
이 조직들의 관계성에 대해서는
3개의 해킹조직이
110연구소 산하라는 설도 있고,
3국이 해킹조직들과는 관련성이
없다는 설도 있다.
하지만, 북한의 정치적 특징이나
여러 상황들을 볼 때,
해킹 조직들 배후에 북한 정부가 있다는 사실은
분석가들 대부분이
인정하는 바일 것이다.
본격적으로, 북한의 대표적인 해킹 조직은 위와 같다.
아까 간단히 설명했던
라자루스는 히든코브라나
징크로 명명하기도 한다.
암호화폐 거래소를 해킹한
대표적인 조직이라 할 수 있다.
여러 사건들에 개입이 되어있고
북한의 국가적 지원을 받는다고 알려진 기관이다.
라자루스 산하에는
세 개의 역할을 하는 단체가 있다.
지능형 APT 공격을 주로 하는,
APT37이라는 이름으로 알려진
미로천리마,
소니 픽쳐스 해킹 사건에
연루된 것으로 알려진
파괴적 공격을 일삼는
침묵의 천리마,
금융시스템을 해킹하여
돈을 탈취하는,
별똥 천리마가 그것이다.
특히 이 조직은,
미 재무부의 해외자산통제실에 의해
'특별 제재 대상'으로 오른 조직이다.
또한, 가짜 지급 요청서를 보낸 후,
해외 은행계좌로 거액을 이전,출금했던
스위프트 전산망 해킹사건의
배후로 지목이 되었다.
두번째 조직은 킴수키이다.
아마 세 조직 중 가장 유명한 조직이
아닐까 생각이 든다.
북한의 소행이라고 추정되는
거의 모든 유명한 해킹 사건은 킴수키가 했다고 해도
과언이 아니다.
킴수키 또한 북한정부의
후원을 받는 것으로 알려져 있다.
탈륨이라고 명명되며,
여러 공격기술을 구사하는
조직이라 할 수 있다.
미국 정부가 공개한
킴수키의 공격기술은
다음과 같다.
(1) 공격 지속성 확립
: 악성브라우저 확장자, 시스템 절차 변경, 원격 데스크톱
프로토콜 조작 등의 공격
(2) 권한 상승시키기
: 여러 폴더에 악성코드 주입, 신규서비스 창설 및 운영 등
(3) 방어 회피
: 보안도구 불능화, 파일 삭제 등
(4) 자격증명에 접속
: 웹브라우저, 파일, 키자동등록기등으로부터
자격증명을 수집 (정보망 탐지기 이용)
(5) 피해자 운영시스템 명령 메시지 이용
: 피해자 컴퓨터 및네트워크의 파일구조를 기록하고
한글문서 멀웨어 및
키 자동등록기를 통해 데이터를 수집.
세번째는 금성 121이다.
주로 한국의 통일,외교,국가안보 관련자들을
타겟으로 삼는다.
2020년에 스피어피싱 수법을 써서
대북관련 단체의 단체장
또는 탈북민들을 겨냥하였다.
악성파일을 이메일에 첨부하는
기존방식과는 달리
인터넷 주소를 첨부하는 방식을 썼다고 한다.
4. 사이버 공격 감행 이유
북한이 사이버 공격을 감행하는 이유는 무엇일까?
첫째, 김정은의 통치자금을 마련하고
외화벌이를 하기 위해서이다.
둘째, 국제사회의 강력한 제재에 따른
경제적, 외교적 압박을 탈피하려는 수단으로도 해석이 된다.
셋째, 전산망을 교란시켜
사이버 상의 혼란을 주는
심리전의 수단일 수 있다.
그리고 마지막으로,
북한이 핵무기와 같은
비대칭 전력으로
사이버 해킹 능력을 사용하여
자신들의 자위력을 공고히
하려는 의도로 해석된다.
5. 대응
국제사회에서는 미국이 주도하여
여러 제재 압박을 가하고 있다.
올해 미국의 국토안보부 산하의
사이버안보 기반시설 안보국(CISA),
연방수사국(FBI),
사이버사령부 산하 국가임무군(CNMF)가
합동 경보를 발령했다.
또한 4월에는 미 정부가
북한 사이버 위협 주의보에 대한 지침을
발표했었고 우리나라 금융기관도
이 지침을 이용하여
대응체계를 마련한다는 발표를 했었다.
2010년부터 국내에서는
북한의 사이버 공격의 위험성을 인식하고
국정원과 국방부를 중심으로 방어역량은
강화해왔지만,
민간분야에서의 사이버 공격에는
아직 대응이 어려운 상황이다.
특히 최근 자료에서 보면,
대기업(1%)보다도 중소기업(25%)에서
그 취약성이 드러나고 있다.
개인정보 보호의 이유로
아직 취약한 것인데,
물론 민간 분야의 대응체계도 있긴 하다.
사이버 안보 대응체계의
컨트롤 타워는 청와대 국가안보실,
실무 총괄은 국정원,
국방부와 과학기술정보통신부 등이
역할을 분담하고 있다.
또한 대형 사이버 테러가 발생할 경우
범정부 차원에서 '민관군 사이버 위협 합동대응팀'을
가동하여 대처를 하고 있긴 하지만
적극 대응까지는 이뤄지지 못하고 있다.
이러한 대응체계의 아쉬운 점을
직시했는지 여러 관련 부서와
관련된 정책 추진 발표가 나오고 있다.
올해 박지원 국정원장이
예산의 절반을 사이버보안에 대부분
투자하겠다고 발표한 만큼
국정원에서 사이버 보안을 중대한 사안으로
보고 있는 움직임이 있다.
하지만, 국정원이 관리하는 분야가
국가,공공기관에 한정되어 있고
최근 많이 벌어지고 있는 민간분야의 사이버 보안 대응은
과학기술정보통신부가 관리하고 있어
전체적인 통합시스템이
구축되어야 할 필요가 있다는
전문가들의 분석이 있다.
국방부에서도,
이번에 편성된 예산이 최고치인 50조를 기록했는데,
이에 사이버 안보의 역할이 크게 대두되었다.
국방사이버안보 역량 강화
추진현황을 발표했는데
사이버 전력을 확충하고
사이버작전센터에 인력을 균형 보강하며,
방호체계 구축과 고도화를 추진하겠다고 밝혔다.
민간분야 사이버 보안을 담당하는
과학기술정부통신부는
디지털 뉴딜의 일환으로
ICT 중소기업 사이버안전망
확충 사업을 발표하였다.
45억의 예산을 들여맞춤 보안 컨설팅과
정보보호 제품이나 서비스 도입시
비용을 지원하는 사업을 추진할 것이라 밝혔다.
사이버 공격 피해 사례를
지켜보고 있는 여러 전문가들은
4가지의 대응방법이 모두 이루어져야
효과적이라는 의견이 대부분이다.
사이버 안보에 중요한 것은
국제사회의 공조와,
국내 사이버 보안 기관들의
협력과 협조라고 한다.
또한 방어 기술력 증강하여
사이버전에 능숙하게 대응할 수 있는
인력을 확충하는 것도
우리가 집중해야 할 부분이다.
6. 시사점 및 전망
현재 북한은 국가적 차원에서
해킹에 온 노력을 쏟고 있다.
이러한 공격들은
다른나라들의 기관에도 확장되고 있고
상대를 교란시키는 행위등으로
다양하게 또 정교하게
피해자들을 기만하고 있다.
또한, 인력 양성에도
굉장한 노력을 퍼붓고 있고
그 노력에 답이라도 하는 듯(?)
실제로 북한 대학생들이
인터넷 프로그래밍 국제 대회에서
우승하는 등의 실적을 쌓고 있어
북한의 비대칭 사이버 전력이
효과가 나타나지 않도록
대응 체계를 잘 구축해 나가야 할 것이다.
[참고문헌]
김환용, (2020). “한국 군사기밀 노린 해킹 시도 급증···코로나 틈탄 북한 해킹 움직임 포착", VOA, 5월 28일.
조은정, (2020). “북한 라자루스, 암호화폐 해킹에 방탄호스팅 업체 이용”, VOA, 5월 26일.
최규현, (2019). “민간분야 사이버위기대응 중요성 증대, 얼마나 위기길래?”, 비아이뉴스, 12월 12일.
디지털뉴딜, 정보통신기술(ICT) 중소기업 사이버안전망 확충 추경 사업 추진: 과학기술정보통신부 홈페이지(접속일: 2020년 12월 27일)
김당, (2020). “[단독] 공공분야 사이버공격 1만 1727건···북한發 70~80%”, UPI뉴스, 10월 16일.
문가용, (2020). “수년 만에 세계적 위협이 된 북한, 앞으로 어떻게 변할까?”, 보안뉴스, 12월 2일.
강유빈, (2020). “북한 사이버 능력 고도화…국제 프로그래밍 대회 ‘6연승’, 한국일보, 12월 3일.
(2017). “북한의 사이버전 능력을 보여주는 5대 해킹 사건”, BBC NEWS 코리아, 10월 21일.
오택성, (2020). “MS “북한 사이버 공격 세계 4번째…개인정보 탈취 집중””, VOA, 10월 6일.
윤왕근, (2020). “'춘천시·통일부' 사칭 북한 사이버공격 주의보”, MS TODAY 생활경제전문뉴스, 12월 10일.
오다인, (2020). "北 해킹에 세계 곳곳 대응 분주···정작 한국은 ‘무관심", 전자신문, 8월 20일.
(2015). “[실태분석] 進化하는 북한 사이버테러”. 월간조선
문동희, (2020). “정찰총국 인사조치에 對南 사이버공격 강화 우려···어떤 부서길래”, Daily NK, 9월 23일.
길민권, (2020). “북한 해킹조직 ‘김수키(Kimsuky)’ 사이버 공격…美 정부 합동경보 발령”, 데일리시큐, 11월 24일.
최경선, (2020). “국제적 사이버공격 대비, 국가안보 차원의 대비와 대응체계 필요해”, 코나스넷, 5월 14일.
(2020). “[M-프렌즈] 국방부 기획조정실에서 말하다 – 3편(국방사이버안보 대응능력 강화). 국방부 블로그, 4월 2일.
'북한의 동태' 카테고리의 다른 글
| [2021년 1월] 조선노동당 8차 당대회 개막 (0) | 2021.01.06 |
|---|---|
| [2021년 1월] 북한 김재룡 전 내각총리가 조직지도부장? (0) | 2021.01.04 |
| [2020년 12월] 북한의 금강산 관광지구 독자개발 선언 (0) | 2020.12.28 |
| [2020년 12월] 북핵 (1) | 2020.12.27 |
| [2020년 12월] RUSI의 리정철 파일 (0) | 2020.12.22 |