대북제재로 더 과감해지는 北 해킹…美 “전세계가 해킹 표적”

대북제재로 더 과감해지는 北 해킹…美 “전세계가 해킹 표적”

   남민우 기자

입력 : 2018.02.21 14:54

미국 사이버보안 기업 파이어아이(Fire eye)는 20일(현지 시각) 북한의 사이버 공격 능력이 전 세계적인 위협으로 부상했다는 경고를 담은 보고서를 발표했다.

북한의 해킹 그룹은 그동안 주로 한국을 상대로 정보를 빼내고 사이버 공격을 하는 데 초점을 맞춘 것으로 알려져왔다. 그러나 최근엔 한국은 물론, 전 세계에 강력한 위협을 가할 존재로 진화했다는 게 파이어아이가 이번 보고서에서 강조한 대목이다.

파이어아이는 이 보고서에서 북한 정부와 연계된 것으로 보이는 해킹 집단 ‘APT37’의 활동을 상세하게 소개했다. ‘APT37’는 지난 해 5월 전세계 네트워크를 마비시킨 워너크라이(Wannacry) 사이버 공격을 감행한 다른 북한 해킹조직과 달리 외부 노출을 최대한 피하며 북한 정부의 임무를 수행하는 게 특징이다.

파이어아이에 따르면, ‘APT37’은 2012년 무렵 결성된 된 것으로 추정되며, ‘래저러스(Lazarus)’라는 이름으로 모호하게 불려온 북한 해킹 그룹의 하위 조직이다.

파이어아이가 ‘APT37’의 해킹 활동에 주목하는 것은 이들의 간첩 활동이 ‘심각한 위협’이 될 만큼 해킹 기술이 정교해지고 활발해졌다는 판단에서다. 보안업계에 따르면, APT37은 북한에 근거지를 두고 있으며 북한 정부의 지시에 따라 활동 중이다. 이들이 사용하는 악성 프로그램은 매우 정교해 인터넷에 연결되지 않은 네트워크에서도 문서를 훔쳐갈 수 있는 것으로 알려졌다. 파이어아이가 분석한 APT37의 특징을 정리했다.

① 日 정부기관 대북 제재 정보도 노렸다 

그동안 북한의 주요 해킹 표적은 국내 정부기관이었던 것으로 알려졌다. APT37 역시 2014년부터 지난해 초까지는 주로 한국 내 정부 기관, 방위산업업체, 언론기관, 인권단체 등을 대상으로 사이버 공격과 해킹을 여러 차례 시도했다.

그러나 북한의 핵·미사일 개발에 따른 대북 제재 강화로 인해 최근엔 해킹 공격 대상이 대폭 넓어지고 있다는 게 파이어아이의 분석이다. 국제사회에서의 입지가 좁아지면서 불법 활동에 대한 의존도가 더 커졌다는 것이다.

최근엔 UN 제재를 다루는 일본의 기관과 단체에서 기밀 정보를 빼오거나 사이버 공격을 감행한 것으로 분석된다. 또한 북한 인권 문제와 관련된 국내외 언론인도 공격 대상에 포함된 것으로 나타났다. 파이어아이는 “북한에 군사·전략·경제 이익을 가져다줄 정보를 은밀하게 빼오는 게 이 조직의 주요 목표”라고 분석했다.

② 항공·통신·금융·자동차·헬스케어 등 산업 정보도 타깃 

파이어아이는 북한 해킹 그룹이 정부 기관뿐 아니라 항공, 자동차, 금융, 군수 등 산업 정보도 집중적으로 노린 것으로 추정된다. LG, 현대, 삼성 등 국내 대기업은 물론, 북한과 거래하는 해외 기업도 주요 해킹 표적이었다.

오라스컴의 나기브 사위리스 회장(중앙)이 2011년 북한 방문 시 찍은 사진. /AP통신
파이어아이는 이집트 통신회사 오라스컴을 대표 해킹 사례로 꼽았다. 오라스컴은 북한에서 이동통신사업 독점 사업권을 가진 회사다. 파이어아이는 지난해 오라스컴과 북한 당국 간 협상이 삐걱거릴 때, APT37이 오라스컴의 내부 정보를 빼내와 협상에 유리한 정보를 줬다고 주장했다. 이 과정에서 거래처나 지인(知人)으로 가장해 가짜 이메일을 보내는 스피어피싱(spear phising) 수법 등이 활용된 것으로 분석된다.

③ 남북통일 주제 행사 안내문을 미끼로 활용 

북한 해커 그룹이 해킹 프로그램을 심어둔 문서 파일의 한 예 /파이어아이                         
APT37가 국내에서 해킹을 시도할 땐 주로 남북 통일 주제 행사 안내문 등을 활용해 정보를 빼냈다. 주로 한글 파일(hwp)에 해킹 프로그램을 심어, 쥐도 새도 모르게 컴퓨터 내 정보를 빼내가는 방식이다. 인터넷 동영상을 재생할 때 쓰이는 미국 어도비사의 플래시 파일 등도 해킹 시도 시 자주 활용됐다. 프로그램의 허점을
파고들기 쉽다는 이유에서다.

APT37은 이메일 해킹 활동 초반엔 주로 다음 한메일의 이메일 주소인 @hanmail.net과 비슷한 @hmamail.com을 이메일 주소로 썼다고 한다. 그러다가 2015년 중반 무렵부터는 @yandex.com, @india.com 등의 메일 주소로 바꿨다가 최근엔 여러 변형 형태의 이메일 주소를 활용한 것으로 알려졌다.

출처 : http://news.chosun.com/site/data/html_dir/2018/02/21/2018022101875.html

Loading

Updated: 2018년 2월 21일 — 3:20 오후

댓글 남기기

이 사이트는 스팸을 줄이는 아키스밋을 사용합니다. 댓글이 어떻게 처리되는지 알아보십시오.