한국, 영국, 미국서 '북한 해커 단체, 핵 기밀 훔치려 해' 경고 나와

한국, 영국, 미국에서 북한 해커들이 전 세계 정부 및 민간 기업에서 핵 및 군사 정보 탈취를 시도하고 있다는 경고가 나왔다.

‘안다리엘’, ‘오닉스 슬릿’과 같은 이름으로 알려진 이 북한 해커 단체가 북한의 군사 및 핵 프로그램을 위해 국방, 항공우주, 핵, 엔지니어링 관련 기관의 기밀을 노리고 있다는 설명이다.

그 분야 또한 우라늄 처리부터 탱크, 잠수함, 어뢰에 이르기까지 광범위하며, 한국, 영국, 미국, 일본, 인도 등을 표적으로 삼고 있다고 한다.

미 공군 기지, 미 항공우주국(NASA), 방위 계약 업체들이 표적이 된 것으로 알려졌다.

이렇듯 특정 단체에 대한 공개적인 경고는 당국이 이들의 스파이 활동 및 돈벌이 활동에 대해 우려하고 있다는 신호로 보인다. 이 단체의 활동이 민감한 정보와 자국민의 일상생활에도 영향을 미치기 때문이다.

미국은 이 해커 단체가 미 의료서비스 업체의 컴퓨터 시스템에 랜섬웨어를 설치하고 몸값을 요구하는 방식으로 스파이 활동 자금을 조달한다고 밝혔다.

‘영국 정부통신본부(GCHQ)’ 산하 ‘국립사이버안보센터 (NCSC)’의 폴 치체스터 책임자는 “오늘 우리가 폭로하는 전 세계적인 사이버 스파이 작전은 북한 당국의 지원을 받는 이들이 북한의 군사 및 핵 프로그램을 위해 어디까지 노력하고 있는지 보여준다”고 설명했다.

“(우리의 이번 폭로를 통해) 주요 인프라를 운영하는 주체들은 탈취와 오용을 막기 위해 자신들의 시스템에 있는 민감한 정보와 지적 재산을 보호하는 게 얼마나 중요한지 다시 한번 상기해야 합니다.”

NCSC는 ‘안다리엘’이 북한 정찰총국(RGB) 제3국의 산하 조직으로 본다.

이번에 한국, 미국, 영국이 공동으로 발표한 경고문엔 북한이 사이버 공격 활동에 대항해 조언이 담겨 있으며, 북한이 로봇 기계, 기계 팔, 3D 프린팅 부품에 대한 정보도 노리고 있다고 말한다.

‘구글 클라우드’ 산하 ‘맨디언트’의 마이클 반하트 수석 분석가는 “이번 경고문은 북한의 이러한 단체가 시민들의 일상생활에도 심각한 위협을 가하고 있으며, 이를 무시할 수 없다는 점을 보여준다”고 설명했다.

“저들은 수익을 창출하고, 스파이 작전 운영 자금을 조달하고자 병원도 공격합니다. 이들이 사람의 생명에 어떤 영향을 미칠 수 있는지는 생각하지 않고 기밀 수집이라는 최우선 임무 완수에만 집중하고 있음을 보여주죠.”

한편 이번 경고 외에도 지난 몇 년간 북한 해커들의 활동에 대해선 경고의 목소리가 나오고 있다.

북한의 소행으로 유명한 사이버 공격 중 하나로 김정은 북한 지도자가 암살당하는 내용을 다룬 할리우드 코미디 영화를 제작하자 지난 2014년 이에 대한 보복으로 ‘소니 픽쳐스’를 해킹 공격한 사건을 꼽을 수 있다.

아울러 과거 수백만 달러의 자금을 탈취한 북한의 해킹 단체 ‘라자루스’도 잘 알려져 있다.

한국, 영국, 미국서 ‘북한 해커 단체, 핵 기밀 훔치려 해’ 경고 나와 - BBC News 코리아

한국, 영국, 미국서 ‘북한 해커 단체, 핵 기밀 훔치려 해’ 경고 나와 - BBC News 코리아

미 정부, 북한 해커 ‘1천만 달러’ 현상 수배...랜섬웨어 공격∙군용기 기술 탈취 혐의

미국 연방수사국(FBI)이 25일 공개한 북한 해커 림종혁 현상 수배 전단. 사진 = FBI 웹사이트 스크린샷.

미국 정부가 북한 해커에 대해 1천만 달러의 현상금을 내걸고 추적에 나섰습니다. 미국의 의료기관을 대상으로 랜섬웨어 공격을 하고 미 방산업체에서 항공기 기술 등을 빼돌린 혐의입니다. 함지하 기자가 보도합니다.

미국 연방수사국(FBI)이 북한 해커 림종혁을 현상 수배했습니다.

FBI는 북한 정찰총국의 해킹 조직 안다리엘 소속인 림종혁이 ‘컴퓨터 사기와 남용 방지법(FFAA)’을 위반했다며 25일 관련 내용이 담긴 현상 수배 전단을 공개했습니다.

해당 전단에는 림종혁의 사진과 함께 성별(남)과 영어,한국어와 같은 사용가능 언어, 인종(아시안) 등 기본 정보가 담겼습니다.

또 혐의 부분에선 “림종혁이 북한 정찰총국을 대리해 활동하며 ‘마우이 랜섬웨어’ 소프트웨어를 사용해 미국 병원과 의료 회사를 대상으로 침투를 모의하고 몸값을 갈취하며 수익금을 세탁했다”고 밝혔습니다.

아울러 미국과 한국, 중국 내 정부와 기술 분야 피해자를 대상으로 사이버 스파이 해킹 작전을 수행하기 위해 인터넷 서버를 구입하기도 했다고 FBI는 지적했습니다.

수배 전단지가 언급한 ‘마우이 랜섬웨어’는 지난 2021년 5월 미국 캔자스 지역 병원을 상대로 한 사이버 공격에 사용된 악성 소프트웨어입니다. 미 수사기관은 당시 공격의 배후로 북한을 지목했었습니다.

마우이 랜섬웨어 공격으로 인해 캔자스 지역 병원과 공중 보건 단체의 컴퓨터는 먹통이 됐고 일부 병원들은 컴퓨터 가동을 정상화하기 위해 북한에 ‘몸값’을 지불하기도 했습니다.

림종혁에 대한 현상금은 1천만 달러로 안내됐습니다

Rim Jong Hyok and his fellow hackers support the DPRK regime through hacking that endangers people in need of medical care. Help us stop Rim and his associates. Send us your info. You could be eligible for a reward and relocation.

이날 국무부는 FBI의 공개 수배 직전 보도자료를 내고 ‘정의에 대한 보상(RFJ)’ 프로그램은 미국의 중요 사회기반시설을 대상으로 특정 악성 사이버 활동을 한 사람의 신원 혹은 위치 정보에 대해 최대 1천만 달러의 보상금을 지급한다고 밝혔습니다.

이어 구체적으로 림종혁을 언급하며, 북한 국적인 그가 안다리엘이라는 악성 사이버 그룹과 연관돼 있다고 확인했습니다.

이어 안다리엘 그룹에 대해 “북한의 군사 정보 기관이자 북한의 악성 사이버 활동을 주로 담당하면서 북한의 불법 무기 거래에 관여하는 정찰총국의 통제를 받고 있는 조직”이라고 설명했습니다.

그러면서 안다리엘은 사업체와 정부 기관, 방위산업체 등을 표적으로 삼는다고 확인했습니다.

국무부는 림종혁 등이 마우이 랜섬웨어를 통한 공격 당시 “의료 검사 혹은 전자 의료 기록에 사용되는 피해자의 컴퓨터와 서버를 암호화하면서 의료 서비스를 중단시켰다”고 지적했습니다.

이어 이들은 몸값으로 받은 돈을 “미국 정부 기관과 미국 및 해외 방위 계약업체 등을 대상으로 한 악의적인 사이버 작전에 투입했다”고 밝혔습니다.

그러면서 림종혁 등이 미국에 기반을 둔 업체를 해킹해 군용 항공기와 인공위성에 사용되는 재료에 관한 기밀 해제 자료를 포함해 30GB 이상의 데이터를 추출했다고 설명했습니다.

다만 해킹된 자료는 2010년 혹은 그 이전에 작성된 것이라고 국무부는 덧붙였습니다.

마이클 반하트 맨디언트 수석분석가.

마이클 반하트 맨디언트 수석분석가는 25일 VOA와의 전화통화에서 “(북한 해커들은) 주로 의료 부문을 공격해 확보한 랜섬웨어 자금을 사이버 스파이 활동 목표물을 공격하는 데 사용하려 했다”고 말했습니다.

[녹취: 반하트 수석분석가] “they were looking to attack different sectors, primarily the health care sector, to use that ransomware funding to then supplement it to actually go after their cyber espionage targets… the extra money, you know, as you're getting, it will most likely go back to the regime in many other ways. But the health care wasn't the primary target in many of these occasions. It was just a means to actually fund their actual missile research or their nuclear endeavors which is very, very interesting how they've propped that up.”

이어 “이렇게 얻은 자금은 다른 여러 방식으로 북한 정권에 들어갈 가능성이 높다”고 분석했습니다.

그러면서 병원에 대한 랜섬웨어 공격은 그 자체로 목표가 아니라 미사일과 핵 개발을 위한 수단이었다는 점에서 매우 흥미롭다고 반하트 수석분석가는 진단했습니다.

현재 림종혁의 형사 사건은 미 캔자스 연방법원에서 다뤄지고 있습니다.

앞서 캔자스주 캔자스 시티의 대배심은 림종혁에 대한 기소를 결정했고, 이 같은 내용은 FBI의 수배 전단, 국무부의 현상금 발표와 함께 25일 공개됐습니다.

북한 해커가 미 사법당국의 추적을 받는 건 이번이 처음은 아닙니다.

북한 해커들이 사용한 이메일과 소셜미디어 계정. 미국 법무부가 북한 국적자 박진혁 기소장에 첨부한 도표다.

FBI는 2021년 북한 해킹 조직 라자루스 그룹 소속 박진혁과 김일, 전창혁을 지명 수배한 바 있습니다.

이들은 2014년 소니 영화사 해킹과 2017년 워너크라이 랜섬웨어 공격을 일으킨 혐의로 미 법무부에 기소됐습니다.

다만 박진혁 등이 북한에 거주하는 것으로 알려져 이들이 실제 미국 법정에 모습을 드러낼 가능성은 적습니다.

같은 이유로 림종혁에 대한 실제 체포도 현실적으론 어려울 것으로 보입니다.

미국 정부는 북한의 사이버 활동에 대한 우려를 여러 차례 밝힌 바 있습니다.

린다 토머스-그린필드 주유엔 미국 대사. (자료사진)

린다 토머스-그린필드 유엔주재 미국대사는 지난달 20일 사이버 안보를 주제로 열린 유엔 안보리 공개회의에서 “전 세계의 위험한 사이버 공격 배후에 있는 범죄자 네트워크를 붕괴시키기 위해 함께 노력해야 한다”며 북한을 거론했습니다.

[녹취: 토머스-그린필드 대사] “We must work together to disrupt the networks of criminals behind dangerous cyberattacks around the globe. As highlighted in April’s Cyber Arria, that includes malicious DPRK cyber operations, which are used to fund its Weapons of Mass Destruction and ballistic missile programs. “

특히 “지난 4월 열린 아리아 포물러 방식의 사이버 회의에서 강조됐듯이 여기에는 북한의 악의적인 사이버 활동도 포함된다”며 “이는 북한의 대량살상무기와 탄도미사일 프로그램 자금 조달에 사용된다”고 주장했습니다.

그러나 북한은 그동안 사이버 공격 사실을 부인하며 이 같은 지적에 반발해 왔습니다.

북한 외무성은 지난 2022년 2월 7일 홈페이지에 올린 글에서 “우리는 있지도 않은 우리의 사이버공격, 가상화폐 절취설을 내돌리는 미국의 비열한 행위를 우리 국가의 영상 훼손으로, 주권에 대한 심각한 위협과 도전으로 보고 절대로 좌시하지 않을 것”이라고 주장했습니다.

VOA 뉴스 함지하입니다.