유명한 일본 만화인 <원피스>에서는 지명수배에 걸린 현상금이 일종의 전투력 취급을 받습니다. 재미있게도 해커들 사이에서도 개인에게 걸린 현상금이 일종의 명예나 전투력처럼 불리는데요.
미국 국무부는 ‘정의에 대한 보상’ 프로그램을 통해 테러 방지, 테러리스트 지도자 체포, 미국 안보에 대한 위협 해소 등에 관한 정보를 제공한 사람들에게 보상금을 지급하고 있습니다. 이 현상금 목록에 북한의 해커가 올라가게 되었습니다.
미 정부, 북한 해커 림종혁에게 1,000만 달러 현상금 걸어
미 정부는 최근 북한 정찰총국 산하 해킹그룹 안다리엘 소속 해커 림종혁에 대한 체포영장을 발부하고 최대 1,000만 달러(약 138억원)의 현상금을 걸었습니다. FBI는 림종혁(Rim Jong Hyok)이 캔자스주 연방 지방법원에서 컴퓨터 해킹 및 돈세탁 공모 등의 혐의로 기소, 체포 영장이 발부됐다고 밝혔는데요.
구체적 범죄 혐의는 랜섬웨어를 퍼트려 미국 병원과 의료회사 컴퓨터에 침입해 돈을 강탈하고 그 수익금을 세탁해 미국, 한국, 중국의 정부 및 기술회사를 대상으로 한 사이버 해킹을 위한 인터넷 서버 구매 등입니다.
또한 미 국무부는 림종혁이 '안다리엘'이라는 해킹 그룹에 소속, 미국의 의료서비스 업체 5곳, 미국 기반 방위 계약업체 4곳, 미국 공군 기지 2곳, 미 항공우주국(NASA) 감찰관실 등에 피해를 줬다고 하는데요. 이 과정에서 안다리엘은 미국 병원 및 의료서비스 업체의 컴퓨터 시스템에 랜섬웨어를 설치, 의료 검사 및 전자 의료 기록 등에 사용되는 병원 등의 컴퓨터를 암호화시키고 의료서비스를 중단시켰다고 밝혔습니다.
캔자스의 한 병원은 2021년 5월 이 랜섬웨어 '마우이'가 가한 암호화 공격을 풀기 위해 10만 달러어치의 비트코인을 지급한 뒤 FBI에 이를 알렸는데요. 병원이 지급한 비트코인은 중국의 은행으로 이체됐으며 중국 단둥의 ‘조중 친선 다리’ 인근 ATM에서 인출되었다고 보도된 바 있습니다.
해킹의 범죄 수익금이 또 다른 범죄 자금으로 활용
문제는 이 범죄 수익금이 또 다른 범죄 자금으로 이어졌다는 겁니다. 이 자금은 미국 정부 기관, 미국과 해외의 방위 계약업체 등을 대상으로 한 사이버 공격에 사용되었습니다. 2022년 11월 시작된 이 작전을 통해 이들은 항공기와 인공위성에 사용되는 재료 관련 미분류 기술 정보 등 30GB 이상의 데이터를 빼갔다고 하는데요. 현재 림종혁은 평양 및 신의주에 있는 군 정보기관 사무실에서 근무한 적이 있으며 북한에 체류하고 있는 것으로 알려졌습니다.
북한 해커가 미 사법당국의 추적과 기소를 받게 된 건 이번이 처음이 아닙니다. FBI는 과거 2021년 북한 해킹 조직 라자루스 그룹 소속 박진혁과 김일, 전창혁을 지명 수배한 바 있는데요. 이들은 2014년 소니 영화사 해킹과 2017년 워너크라이 랜섬웨어 공격을 일으킨 혐의로 미 법무부에 기소된 적 있습니다. 하지만 북한에 거주하는 이들의 특징 상, 실제 체포까지 이어지진 못했죠. 림종혁 역시 체포될 가능성은 희박해 보입니다.
북한의 사이버 공격에 대한 국제사회의 우려
이런 북한의 사이버 공격에 대해 국제사회는 꾸준히 우려를 표시해 왔습니다. 린다 토머스-그린필드 UN 주재 미국대사는 지난달 20일 사이버 안보를 주제로 열린 유엔 안보리 공개 회의에서 "전 세계의 위험한 사이버 공격 배후에 있는 범죄자 네트워크를 붕괴시키기 위해 함께 노력해야 한다"며 북한을 거론했는데요.
특히 "지난 4월 열린 아리아 포물러 회의에서 강조되었듯 여기에는 북한의 악의적인 사이버 활동도 포함된다"며 "이는 북한의 대량살상무기와 탄도미사일 프로그램 자금 조달에 사용된다"고 주장했습니다. 하지만 지금까지 북한 당국은 사이버 공격 사실을 부인하며 이 같은 지적에 반발해 왔습니다.
북한 외무성은 지난 2022년 2월 7일 홈페이지에 올린 글에서 "우리는 있지도 않은 우리의 사이버공격, 가상화폐 절취설을 내돌리는 미국의 비열한 행위를 우리 국가의 영상 훼손으로, 주권에 대한 심각한 위협과 도전으로 보고 절대로 좌시하지 않을 것"이라고 주장한 적도 있습니다.
북한의 주요 해킹 그룹 3곳과 대표적 공격 수법
북한의 알려진 해킹 그룹은 3곳으로 각각 라자루스, 안다리엘, 김수키로 불립니다. 이들은 올해 연초에 국내 방산기업을 타깃으로 사이버 공격을 수행한 것이 드러나기도 했습니다. 당시 경찰청에 따르면 "북한 해커조직은 방산기술 자료를 훔치기 위해 사이버 공격을 수행했다. 국내 방산업체 총 83곳 중 10여 곳이 해킹 당했다"고 했는데요. 이 과정에서 일부 피해업체들은 경찰의 연락을 받기 전까지도 해킹 피해 사실을 전혀 모르고 있었던 해프닝도 있었습니다.
흥미로운 점은 각각의 해킹조직은 대표적 공격 수법이 다르다는 겁니다. 라자루스 해킹조직은 망 연계 시스템의 관리 소홀을 틈타 내부망으로 침입했습니다. 방산업체 외부망 서버를 해킹, 해커들은 악성코드에 감염시킨 후 테스트 목적으로 열려있는 망 연계 시스템의 포트를 통해 회사 내부망까지 장악했던건데요. 이 내부망 핵심 자료를 크롤링해 국외에 있는 클라우드 서버를 통해 빼돌렸습니다. 내부망 컴퓨터 6대에서 자료가 유출된 사실이 확인됐으며, 피해업체와 국외 클라우드 서버 등 분석을 통해 유출된 자료의 흔적이 확인되었죠.
안다리엘은 방산 협력업체의 서버를 유지 보수하는 업체 직원의 계정을 탈취, 악성코드를 감염시켜 방산 자료를 유출했는데요. 해커들은 방산 협력업체 등을 원격으로 유지 보수하는 업체 엔지니어의 네이버나 카카오와 같은 개인 계정을 탈취했습니다. 흔히들 외부 계정과 사내 계정을 동일하게 사용하는데요. 이러면서 사내 계정까지 모조리 뚫려버리게 되었습니다. 이후 해커들은 계정정보를 탈취해 악성코드를 원격으로 설치, 계정정보를 탈취하고 사내 메일로 접속해 메일 송수신 자료를 탈취했습니다.
김수키는 사내에서 사용하는 그룹웨어 메일 서버의 취약점을 악용했습니다. 메일 솔루션의 취약점 중 로그인 없이 외부에서 메일로 송수신한 대용량 파일을 다운로드 할 수 있던 기능이 있었던 것인데요.
나날이 진화하는 북한 해킹 공격과 대처 방안
거기다 최근에는 국군정보사령부 소속으로 대북 첩보활동을 하는 요원들의 정보가 유출된 정황이 포착되기도 했는데요. 정보가 유출된 경로는 현역 군인 출신으로 정보사에서 군무원으로 근무하는 개인의 노트북이 유실되었다고 전해지고 있습니다.
당사자는 자신의 노트북이 해킹 당한 것이라 주장하고 있는데요. 망이 분리되어 있어 온라인을 통한 외부 해킹이 불가능한 정보사 내부 컴퓨터에서 데이터가 유실되었다는 점에서 라자루스의 연계 시스템 해킹 수법, 혹은 안다리엘의 공개 계정 정보 해킹 수법이 떠오르지 않을 수 없습니다.
최근 공격 사례를 보면 외주 솔루션이나 원격 관리 등을 수행하는 업체를 목표로 하여 공격을 하는 것을 볼 수 있습니다. 원격 관리를 통한 기술 지원이 흔해지면서 이런 기능을 악의적으로 오용하고 있는 것을 확인할 수 있습니다. 하지만 고전적인 해킹 수법인 키보드 입력을 탐지, 각종 정보를 탈취하는 키로거(Key Logger) 악성코드나 클립보드를 로깅하는 코드를 몰래 설치하기도 했죠.
이들의 공격 범위도 점차 확장, 안보 관련 정보나 기업에만 침투하지 않고 금전적 이득을 목적으로 한 공격도 증가하고 있는 경향성이 있기에 각 기업 역시 보안에 많은 주의를 기울여야 할 필요가 있습니다.
각 사용자들은 출처가 불분명한 메일의 첨부 파일이나 웹 페이지에서 내려받은 실행 파일을 특히 주의해야 하고, 보안관리자들은 꾸준한 업데이트나 정책 관리, 모니터링을 하면서 보안 위협에 대해 선제적으로 대응할 수 있어야 할 것입니다.
인텔렉추얼데이터는 전자증거개시를 위해 기업의 중요 데이터를 취급하는 만큼, 서버 보안에서부터 각 구성원의 엔드포인트 보안까지 철저하고 체계적으로 관리하고 있습니다. 또한 주기적인 임직원 보안 교육과 보안 체계 점검을 통해 중요 계정 정보 및 데이터 유출 방지에 최선의 노력을 다하고 있습니다. 보다 안전한 전자증거개시 전문기업을 찾으신다면, 대한민국 eDiscovery의 절대적 기준! 인텔렉추얼데이터와 만나보세요.
