앵커 : 북한 해킹조직들 간 변화가 이뤄졌으며 이를 통해 북한 해커들이 보다 유연하고, 빠르게 변화에 적응하고 있다는 분석이 나왔습니다. 박재우 기자가 보도합니다.
10일 구글 산하 사이버 보안 기업인 맨디언트가 공개한 ‘2023년 북한 사이버 구조와 연관성 평가’(Assessed Cyber Structure and Alignments of North Korea in 2023)보고서.
보고서는 최근 북한 해킹조직 간 변화, 즉 구조조정이 이뤄졌다고 평가했습니다.
보고서는 기존에 알려진 북한 해킹 단체들이 정체를 드러내지 않기 위해 서로 의사소통을 하지 않았지만, 최근 들어 자원 공유와 일시적인 협업이 강화되고 있다고 설명했습니다.
그러면서APT38, 안다니엘, 템프허밋 등 외부에 알려진 북 해킹조직은 정찰총국 내에서 서로 밀접하게 연관돼 있으며 최근 들어 더 긴밀하게 협조하고 있다고 했습니다.
또 이들은 특정 분야와 관계없이 목표를 빠르게 바꿔 랜섬웨어, 핵·재래식 무기에 대한 정보 수집, 암호화폐 탈취 등 다양한 분야에서 공격을 가하고 있다고 평가했습니다.
보고서는 코로나가 북한 해킹 조직 구조의 변화를 가져왔다고 분석했습니다.
이어 “해킹 방식과 목표물의 ‘공유’ 사례는 과거에도 있었다”라면서도 “2020년 코로나 봉쇄로 인해 북한은 더 활발하게 이러한 방식을 채택하고 있다”고 설명했습니다.
그 예로 북한이 2021년 신설한 정찰총국 산하 해킹조직인 325국(Bureau 325)을 들었습니다.
이들이 처음엔 코로나 백신(왁찐) 관련 연구자료를 훔치는 임무를 수행해 김정은 총비서에게 직접 보고해 왔지만 시간이 지나면서 탈북자, 국방 및 정부, 언론, 암호화폐 서비스 및 금융기관을 대상으로 하는 작업으로 변화했다고 밝혔습니다.
이어 “북한은 한반도 안팎에 위치한 군대와 대리인을 통해 공격 작전을 수행했지만, 코로나 봉쇄로 작전 방식을 수정할 수밖에 없었다”고 지적했습니다.
특히, 이들 간 자원 및 정보 공유는 북한 신의주 근방에서 이뤄지고 있을 가능성이 높다고 평가했습니다.
이들은 구체적으로 해킹에 필요한 도구들과 악성 코드를 공유하고, 컴퓨터 운영체제인 리눅스, 맥OS를 포함한 다른 운영체제를 통해 공격을 감행하기 위해 지속적으로 변화에 적응하고 있다고 덧붙였습니다.
이 보고서를 작성한 마이클 반하트 맨디언트 수석분석가는 10일 자유아시아방송(RFA)과 통화에서 해킹 조직들이 김 총비서에게 직접 보고하진 않겠지만, 김 총비서가 특별히 이들을 신경쓰고 있다고 말했습니다.
[반하트 분석가] 현재로선 (해킹 조직들이) 김정은에게 직접 보고하진 않을 것으로 보입니다. 아마도 정찰총국 지도부에 보고하고 있을 것입니다. 그러나 김정은은 집권했을 때부터 사이버 활동을 늘리는 등 큰 영향력을 미친 것으로 보입니다. 사이버 부대를 사랑하고 있기 때문에 다른 사람들보다 더 가까이서 지켜보고 있을 거라고 가정합니다.
에디터 김소영, 웹팀 이경하