인수위원 해킹시도·현역장교 포섭…北 해커그룹 실체는

기사등록 2022/04/29 06:10:00 최종수정 2022/04/29 07:42:45

대남 정보수집에 해킹그룹 활용…인수위원 타깃 공격시도 포착

해외서 가상화폐 탈취해 경제 제재 우회하는 수단으로 악용

北 핵심 전략자산의 일환으로 해킹역량 십분 활용





【서울=뉴시스】송종호 기자 = “북한의 사이버 공격 역량은 어떤 군사 프로그램보다 더 위협적이다.”

미국 외교 관련 싱크탱크인 미외교협회(CFR)는 지난해 연말 발표한 '북한의 군사역량 보고서'에서 이같이 지적했다. 보고서에 따르면, 북한의 사이버 공격 능력이 지난 몇 년간 비약적으로 발전했고, 정교한 사이버 공격 기법을 통해 한반도르 넘어 전세계 주요 정부와 금융·민간기업을 목표로 삼고 있다고 지적했다.

국내 보안 당국자들이 바라보는 시각도 비슷하다. 북한 김정은 정권이 핵심적인 전략 자산으로 디지털정보전 역량을 십분 활용해고 있다는 전언이다. 대남 정보 수집을 위해 전방위적이면서 정교한 해킹을 지속적으로 시도하는 한편, 해외에선 경제 제재를 회피하고 우회 외화벌이 수단으로 이를 이용하고 있다는 설명이다.

◆ 새정부 인수위 겨냥한 해킹 시도...현역 장교 포섭도 北 해커가?
대통령직인수위원회 위원들에게 발송된 메일 사본.[사진=메일캡처] *재판매 및 DB 금지


지난 25일 대통령직인수위원회 소속 일부 위원들은 ‘통일부 국제협력과입니다’라는 제목의 이메일 한통을 받았다. 해당 메일은 통일부에서 근무하는 ○○○ 사무관이라며 소개하며 마치 정부 관계자가 보낸 것처럼 위장했다.

이 메일에서 해커는 지인의 소개를 받고 자문 요청차 연락한 것처럼 속여 첨부 파일을 클릭하도록 유도했다. 보안 소식통에 따르면, 이 메일은 타깃 인사들의 아이디와 패스워드를 빼내기 위해 북한 연계 해커들이 발송한 악성 피싱 메일로 밝혀졌다.

사실 첨부 파일처럼 보이도록 디자인돼 있지만, 사실은 해커가 꾸며 놓은 가짜 사이트로 연결되는 링크가 숨겨져 있다.

수신자가 첨부 파일로 오해하고 내려받기를 시도하면 해커가 조작한 대학 메일 위장 사이트로 유도한 뒤 교내 아이디와 패스워드를 다시 한번 입력하도록 유도한다. 인수 위원이 무심결에 보안 추가인증인 줄 알고 아이디와 비밀번호를 입력하면 이 정보가 해커의 서버로 실시간 전송되는 구조다.

해커는 이 과정에서 고려대·연세대·성균관대·단국대·서울시립대 등 해당 인수위원의 소속 대학별로 일일이 해당 대학 메일 서버를 흉내낸 가짜 웹사이트가 뜨도록 할 정도로 정교했고 치밀했다. 심지어 아이디와 비밀번호를 입력하면 실제 정상 문서 파일을 내려받도록 함으로써 개인정보 탈취 이후에도 해당 위원이 해킹메일 인지 쉽게 인지하지 못하도록 하기도 했다.

당시 이번 해킹파일을 분석한 보안 전문가는 “인수위원들의 아이디와 비밀번호를 탈취한 뒤 내부 정보들을 빼내려는 시도로 보인다”고 말했다.

보안 전문가는 이번 공격은 북한 관련 해커들의 소행인 것으로 추정하고 있다.  해당 문서 저장 계정이 ‘zhaozhongcheng’으로 확인됐는데, 이 계정은 2019년부터 북한당국과 연계된 해킹 사례에서 공통적으로 발견되고 있다.

북한 해커들의 수법은 아예 현역 군인을 포섭해 군사 기밀을 빼낼 정도로 과감해지고 있다. 같은 날 군사안보지원사령부에 따르면,  북한 공작원의 지령을 받고 간첩 활동을 한 혐의로 군 장교 A대위와 가상자산투자회사 대표 B모씨가 국가보안법 위반 혐의로 구속 송치됐다.

지난 2020년 3월 A대위는 민간인 대학 동기 B씨 소개로 북한 해커와 서로 연락했다. A대위는 비트코인을 받는 조건으로 지난해 11월께 북한 해커 지령을 받아 '국방망 육군홈페이지 화면', '육군 보안수칙' 등을 촬영해 텔레그램으로 전송했다. 올해 1월에는 북한 해커 지령을 받고 군 전장망 한국군 합동 지휘 통제 체계(KJCCS) 로그인 자료 등을 촬영해 전송한 혐의를 받고 있다. 북한 해커들의 사이버 정보전을 돕기 위한 사전 정보다.

군사안보지원사령부는 “군이 사용 중인 전장망이 해킹됐다면 대량의 군사 기밀이 유출돼 국가 안보에 심대한 위험을 초래할 수 있었던 상황”이라고 전했다.

◆北, 블록체인 가상화폐 탈취…대북제재 우회수법

해외에서는 북한에 대한 경제 제재를 우회하는 용도로도 활용되고 있다. 최근 빈번해지고 있는 가상화폐 탈취사건들이 대표적이다.

지난달 베트남 개발사 스카이마비스가 개발한 블록체인 비디오 게임 엑시 인피니티가 해킹 당했다. 범인은 북한과 연계된 해커그룹 라자루스로 밝혀졌다. 라자루스는 엑시 인피니티에서 약 6억2500만달러(약 7771억원) 상당의 암호화폐를 훔쳤다. 역대 암호 화폐 해킹 중 최대 규모의 사건이다.

사실 북한의 가상화폐 탈취는 하루 이틀이 아니다. 얼마 전 미국 워싱턴 DC 연방검찰은 지난 몇 년간 발생한 주요 가상 자산 거래소 해킹 범죄의 배후로 북한을 꼽고 있다. 연방 검찰은 공소장에서 “북한과 연계된 해커들이 다른 자금세탁 범죄자들과 공모해 3곳의 가상 자산 거래소에서 가상 자산을 훔쳐왔다”고 밝혔다.

27일(현지시간) 미국 FBI(연방수사국) 소속 암호화폐 전문가인 닉 칼슨 TRM랩스 분석관은 미국의소리(VOA) 방송에 출연해 "북한 관련 해커들이 탈취한 가상화폐를 세탁해 현금화하는 수법이 상당히 발전했고,  그 배후엔 북한 정권이 있다"고 털어놨다.

특히 북한 해커들은 추적 당할 위험을 감수하고 빠른 현금화를 위해 돈세탁에 필요한 난독화(분석을 어렵게 만드는 기술)을 생략하는 등 보다 과감해지고 있다는 게 그의 설명이다.

보안 전문가들은 북한 해커들의 배후로 북한 정찰총국은 꼽고 있다. 북한이 2009년 정찰총국 산하에 전자정찰국 사이버전지도국(121국)을 설치했고, 군 총참모부 산하 지휘자동화대학 졸업생들을 정찰총국 산하 해킹부대에 배치하는 등 정보전 역량을 크게 강화해왔다는 것. 

한 보안 전문가는 "북한의 사이버전 조직 중 정찰총국 인력이 가장 우수한 평가를 받는고 있는데 이들 상당수가 라자루스, 킴수키 등 대외적으로 알려진 북한 연계 해커그룹 소속으로 파악된다”고 말했다.


◎공감언론 뉴시스 song@newsis.com

관련뉴스