"대북지원 기구 담당자들 겨냥 해킹...북한 소행 의심"

미국 라스베이거스에서 '데프콘 해커 컨벤션'이 열렸다. (자료사진)

유엔 등 인도주의 단체들의 북한 관련 업무 담당자들을 겨냥한 해킹 시도가 있었던 것으로 알려졌습니다. 북한이 배후라는 결론이 나지는 않았지만 전문가들은 북한의 소행임을 의심할 근거가 많다고 밝혔습니다.

미 사이버 보안회사 ‘룩아웃’은 올해 초부터 유엔아동기금 UNICEF와 세계식량계획 WFP, 국제적십자사 등 국제 기구들의 북한 관련 업무 담당자들에 대한 해킹 시도가 있었다고 밝혔습니다.

룩아웃은 보고서에서 해커들이 설문조사 혹은 온라인 문서에 접근할 수 있는 링크를 보내 사용자들을 가짜 사이트로 유도했다고 말했습니다.

사용자가 로그인 정보를 넣으면 해당 정보를 수집하는 방식으로 해킹이 이뤄졌다는 겁니다.

한 가지 사례로, 해커들은 북한 관련 설문조사를 요청하는 메일을 대북 업무 담당자들에게 보낸 것으로 드러났습니다

[녹취: 리처드스 연구원] “Delivery end point was actually Google Docs survey. It was addressed to the North Korea Watchers which is an actual organization that you can research.”

제러미 리처드스 룩아웃 선임 보안 연구원은 25일 VOA에 공격 대상자들에게 ‘구글 다큐먼트’ 설문조사로 초대하는 링크가 보내졌다며, 설문조사는 ‘북한 모니터’라는 실제 존재하는 단체가 보낸 것처럼 보이게 했다고 설명했습니다.

리처드스 연구원에 따르면 해커들은 사용자의 계정을 해킹한 후 해당 단체 전체에 악성 소프트웨어를 퍼뜨리는 방식을 사용하려 했습니다.

[녹취: 리처드스 연구원] “First they will download the mailbox to look at what conversations are currently ongoing and make decisions to how best to infect the rest of the organization.”

메일 사서함을 다운받아 어떤 대화가 오가고 있는지 파악한 뒤 이를 토대로 해당 단체를 어떻게 해킹할 것인지 결정할 것이라는 설명입니다.

또, 배후에 누가 있는지 단정할 수 없지만 해킹은 돈 보다는 단체들의 내부 정보가 목적인 것으로 분석했습니다.

이와 관련해 워싱턴의 민간단체인 민주주의수호재단의 매튜 하 연구원은 해킹의 많은 단서들이 공격의 배후로 북한을 지목하고 있다고 말했습니다.

[녹취: 하 연구원] “The fact that they used for their infrastructure for the attack was based on a website called ‘Shinjiru’ which was basically all of it was done was anonymously and it's all paid through anonymous cryptocurrency which was a very big red flag.”

사이버 공격은 ‘신지루’ 라는 웹사이트를 통해 이뤄졌는데 웹사이트의 모든 것은 익명으로 처리돼 있고, 지불 방식도 익명성이 보장되는 가상화폐였다는 것입니다.

그러면서, 이는 북한이 배후에 있다는 큰 적신호라고 매튜 하 연구원은 말했습니다.

매튜 하 연구원은 또 사이버 공격이 북한 해커들이 주로 활동하는 말레이시아에서 이뤄진 점도 북한의 소행을 의심하는 단서라고 밝혔습니다.

VOA 뉴스

“북한 해킹조직, 모바일 사이버 공격 활발”

애플 아이폰의 앱스토어 앱. (자료사진)

북한과 연관이 있는 사이버 공격 단체가 모바일 사이버 스파이 활동을 벌이고 있는 것으로 나타났습니다. PC를 공격하는 기존 해킹에 비해 보안이 취약한 모바일 해킹 위협이 크게 증가하고 있다는 지적입니다.

북한 정권의 후원을 받는 해킹조직이 지난 10년 가까이 모바일 분야 사이버 공격을 펼쳐왔다고 캐나다의 컴퓨터 운용체계와 휴대전화 제조 기업인 ‘블랙베리’ 산하 사이버보안업체 ‘블랙베리 사일런스’가 밝혔습니다.

블랙베리 사일런스가 최근 공개한 ‘모바일 멀웨어와 APT 스파이 활동’ 보고서에 따르면 북한 정권은 모바일 분야에서 ‘라자루스’와 ‘스카크러프트’라는 이름으로 최소 2개 이상의 사이버 공격단체를 운용하며 정보를 탈취하는 활동을 벌이고 있습니다.

보고서는 2014년 소니영화사 해킹 사건 이후 북한의 해킹 방법과 특성에 대한 서방국가들의 추적과 탐지, 연구가 강화되자 북한이 본격적으로 모바일 해킹을 확대, 강화하는 전략을 구사하기 시작했다고 밝혔습니다.

그러면서 북한의 모바일 악성 프로그램은 대부분 한국 정치, 안보, 언론 분야 정보 탈취를 목적으로 운용돼 왔으며, 최근에는 금융기관과 암호화폐 거래 정보를 탈취하는 쪽으로 선회한 것으로 보인다고 지적했습니다.

앞서 지난 17일, 미국 휴대전화 제조 기업인 애플사의 시스템 보안업체도 북한 해킹조직의 유사한 모바일 공격을 받은 것으로 확인됐습니다.

북한 라자루스로 의심되는 해킹조직이 악성코드를 심은 모바일 애플리케이션을 암호화폐 회사로 위장해 유포하고, 암호화폐 이용 고객과 관계자의 정보를 빼돌리려 했다는 것입니다.

[녹취: 워들 연구원] “So what the attackers did was first create a fake cryptocurrency trading company with, you know, a fake website made it look fully legitimate. Then what they would do is they would reach out to users or administrators of cryptocurrency exchanges, basically say, hey please do test out our new cryptocurrency trading application, and would give them a link to the application.”

블랙베리 사일런스의 이번 보고서는 특히 스카크러프트라는 북한 해킹조직의 모바일 해킹 활동에 주목했습니다.

스카크러프트는 2012년부터 두드러진 활동을 보인 북한의 사이버 해킹조직으로, 데스크탑 컴퓨터를 주로 공격하는 일반적인 북한 해킹조직과 달리 휴대전화와 태블릿 PC, 블루투스 연결 장비 등 이동식 컴퓨터 장치의 모바일 환경을 공격하는데 집중해왔습니다.

스카크러프트는 라자루스나 히든 코브라 보다 서방세계에 잘 알려져 있지 않다는 점을 적극 이용한 것으로 드러났습니다.

작전 주체가 자신의 정체를 위장하는 ‘가짜 깃발’ 작전을 수행해 북한의 다른 유명 해킹조직이나 전혀 다른 나라의 해킹단체로 보이게 포장하려 했다는 것입니다.

또 스카크러프트가 수행한 가짜 깃발 작전은 기존 북한 해킹 그룹과 공격 대상은 비슷하지만 사용하는 도구와 기법, 과정이 전혀 다른 형태여서 공격 주체를 확인하기 어렵다고 지적했습니다.

보고서는 그러나 파일 공유 사이트의 동일 계정에서 일반 컴퓨터 악성코드와 모바일 멀웨어가 동시에 유포되는 정황을 포착했으며, 이를 토대로 모바일 해킹을 담당하는 스카크러프트가 기존 북한 해킹조직의 뒤에 숨어 같은 플랫폼을 공유하며 활동하는 것으로 분석했습니다.

이처럼 최근 북한을 비롯한 중국, 이란의 해킹조직들이 모바일 해킹 공격에 눈을 돌리는 것은 달라진 인터넷 이용 환경 때문이라는 지적이 제기됐습니다.

모바일 기기 종류가 다양해지고 이동식 인터넷 기술이 발달하면서 이용자가 저장해둔 민감한 정보의 주체가 데스크탑 컴퓨터에서 휴대전화와 태블릿 PC로 옮겨가고 있다는 것입니다.

에릭 코넬리우스 블랙베리 사일런스 최고 기술책임자는 “모바일 해킹 공격이 과거 예상했던 것보다 훨씬 더 만연해 있다”고 말했습니다.

그러면서 “모바일 악성 프로그램을 탐지하고 방지하기 위한 효과적인 보안 해법이 아직 없어 모바일 사용자들은 해킹조직의 손쉬운 목표가 되고 있다”고 밝혔습니다.

VOA 뉴스

미 당국자들 “북한, 정권 유지 위해 사이버 금융 범죄 자행”

미 국토안보부 산하 사이버안보 기간시설 안보국 (CISA)의 크리스 크렙 국장이 24일 사이버 전문 매체 ‘사이버 스쿱’이 개최한 연례 사이버 안보 컨퍼런스에서 연설했다.

북한이 사이버 금융 범죄를 저지르는 것은 정권을 유지하기 위해서라고, 미국 고위 당국자가 지적했습니다. 또, 적국의 해커 등은 랜섬웨어 공격을 통해 사이버 공격에 가장 취약한 기관들을 공격하고 있는데 그 피해 규모가 지난해 보다 두배 이상 증가했다고 밝혔습니다.

미 국토안보부 산하 사이버안보 기간시설 안보국 (CISA)의 크리스 크렙 국장은 북한이 정권을 유지하기 위해 금융 범죄에 중점을 두고 있다고 밝혔습니다.

[녹취: 크렙 국장] “I think it's safe to say they are focused on financial crimes in order to support the state. They continue to hit the banks and use other mechanisms to again bring capital into the country.”

크렙 국장은 24일 사이버 전문 매체 ‘사이버 스쿱’이 개최한 연례 사이버 안보 컨퍼런스에서 VOA 기자와 만나 이같이 밝히며 북한은 지속해서 은행들을 공격하고 다른 방법들을 사용해 자금을 벌어들이고 있다고 말했습니다.

그러면서 사이버 금융 범죄에 대응하기 위해 미국 연방수사국(FBI)등 정보기관들과도 협력하고 있다고 밝혔습니다.

앞서 진행된 기조연설에서는 적국의 악성 행위에 대응하기 위해 사이버안보 기간시설 안보국이 정부 부처들과 민간 업체들과의 협력을 강화하고 있다고 강조했습니다.

[녹취: 크렙 국장] “We have a pretty good idea what the tactics techniques and procedures are for this adversary or that they might use. We can start developing packages of defensive measures.”

적들의 해킹 기술과 전략 등을 미리 파악하고 있으며 어떤 전략들을 쓸지도 알고 있다는 설명입니다. 그렇기 때문에 방어 조치 개발을 시작할 수 있다고 크렙 국장은 밝혔습니다.

북한은 미국의 사이버 안보를 위협하는 4대 국가중 하나로 꼽히고 있습니다.

토냐 우고레츠 미국 연방수사국(FBI) 사이버 담당 부국장보는 적대국가들을 포함한 해커들의 랜섬웨어 공격에 주목했습니다.

우고레츠 부국장보는 컴퓨터 시스템 감염 방식의 랜섬웨어 공격으로 인한 피해 규모가 지난해에 비해 올해 현재 두배 이상 증가했다고 밝혔습니다.

[녹취: 우고레츠 부국장보] “In calendar year 2018 according to IC3 states the losses due to ransomware were 3.6 mil dollars. In calendar year 2019 to date, we are not even through the whole year. That number has already doubled to 7.3 mil dollars.

FBI 산하 인터넷 범죄 센터에 따르면 2018년 랜섬웨어 공격으로 인해 발생한 피해 액수는 360만 달러였는데 2019년 현재 이 수치는 벌써 두배 이상 증가해 730만 달러를 기록했다는 설명입니다.

우고레츠 부국장보는 그러면서 해커들은 사이버 공격에 취약한 의료와 교육 기관들을 주요 공격 대상으로 삼고 있다고 말했습니다.

VOA 뉴스

“북한, 한국을 사이버 실험 대상으로 삼아”

사만다 라비츠 민주주의수호재단 연구원이 10일 워싱턴에서 열린 안보 토론회에서 북한의 사이버 위협에 관해 설명했다.

북한의 사이버 범죄는 이미 사이버 군사 역량이 미국의 역량과 거의 비슷한 수준에 도달했다는 진단이 나왔습니다. 이런 역량을 더욱 키우기 위해 한국을 실험 대상으로 삼고 있다는 지적입니다.

딕 체니 전 부통령을 보좌했던 민주주의수호재단의 사만다 라비츠 연구원은 북한의 사이버 군사 역량은 미국의 사이버 군사 역량과 거의 비슷한 수준에 이르렀다고 분석했습니다.

[녹취: 라비츠 연구원] “It is a way to try to level the playing field to certain extent between North Korea and other nations. South Korea is a test bed for a lot of what North Korea then tries around the world.”

라비츠 연구원은 10일 워싱턴 내 씽크탱그 민주주의수호재단이 주최한 미국의 외교정책과 글로벌 위협 관련 토론회에서 북한의 사이버 위협 수준을 묻는 VOA기자의 질문에 북한은 다른 나라들과 같은 수준에서 사이버 공격을 하려고 한다며 이같이 대답했습니다.

그러면서 북한이 국제적인 공격을 시도할 때 한국을 실험 대상으로 삼고 있다고 밝혔습니다.

라비츠 연구원은 또 북한은 경제 등 다른 분야 보다 사이버 분야에서 우위에 설 수 있다고 믿기 때문에 해킹을 통한 금융범죄를 저지르면서 사이버 분야에 집중하고 있다고 지적했습니다.

[녹취: 라비츠 연구원] “The North Koreans see this as in some ways comparative advantage for them. It is a way to steal money to support the regime.”

북한은 사이버 영역을 비교 우위를 점할 수 있는 분야로 보고 있으며 돈을 훔쳐 체제를 지원할 수 있는 방법으로 보고 있다는 설명입니다.

한편, 사이버 전문가인 브랜든 발레리아노 미 해병대대학 교수는 11일 VOA와의 전화통화에서 중국, 방글라데시 등에 파견된 북한 해커들은 해당 국가가 어디든지 실험 대상으로 삼고 있다면서 북한의 체제는 더 공격적인 사이버 공격을 감행하게 만든다고 말했습니다.

[녹취: 발레리아노 교수] “The main difference they have limited democratic constraints. They have a lot less limitations in employing these tools than other nations do.”

민주주의 특유의 제약이 없는 북한은 다른 나라들과 비교해 이런 수단을 적용하는데 제약을 거의 받지 않는다는 설명입니다.

특히 올림픽이나 월드컵 등 스포츠 행사는 북한이 사이버 역량을 시험할 수 있는 행사라고 지적했습니다.

또 북한은 최근 정권의 자금 마련을 위해 제재를 피하면서 독자 가상화폐 개발에 초점을 맞추고 있지만 체제 지원용인 이런 불법 수단들이 얼마나 많은 돈을 벌 수 있을지는 의문이라고 지적했습니다.

라비츠 연구원은 북한은 전세계적으로 사이버 공격을 감행할 위험이 있다며 동맹국들과 협력이 중요하다고 말했습니다.

그러면서 북한은 보복 위험이 없다면 공격 수준을 높일 것이라며 이에 대한 대응이 필수라고 강조했습니다.

VOA 뉴스