앵커 :지난 27일 미국 백악관은 북한 해커들이 지금까지 10억 달러 이상의 암호화폐를 탈취했다고 발표했습니다. 국제 사이버보안업체인 카스퍼스키(Kaspersky)의 박성수 책임연구원은 29일 자유아시아방송(RFA)과의 인터뷰에서 북한 해킹 조직은 암호화폐 산업 인재들이 활동하는 사회관계망 서비스(SNS)에서 활발하게 활동하고 있다고 밝혔습니다. 박 책임연구원은 이들이 우선 공격 대상들과의 신뢰를 쌓은 뒤 악성코드를 퍼트리는 방식으로 해킹을 해왔다면서 앞으로 북한 해킹조직의 암호화폐 탈취가 더 활발해 질 것으로 내다봤습니다. 박재우 기자가 들어봤습니다.
기자 :연구원님이 카스퍼스키에서 발간한 지난해 12월 보고서를 봤습니다. 보고서에서도 언급된 것처럼 지난해에도 북한 해킹 활동은 멈추지 않았고, 줄지 않았습니다. 그간 북한 해킹 조직의 움직임이 어떻게 변했나요? 또 올해 북한 해킹 조직의 활동을 어떻게 예상하시는지요?
박 연구원 :매년 받는 질문 중에 하나인데요. 2022년 그들(북한 해킹 조직)의 활동은 계속 활발해졌습니다. 제가 처음 북한의 대표적 해킹 그룹인'라자루스 그룹' (Lazarus Group)을 봤을 때와 지금을 비교해보면 내부 역량이나 움직임의 속도가 상당히 발전됐습니다. 예전에는 한 팀 정도가 움직이는 것처럼 보였다면, 지금은 여러 팀이 동시에 공격을 하거나 서로 다른 방법들을 이용해서 다른 산업군들을 공격하는 게 보입니다. 그들도 이제 사이버 공격을 통해서 자신들이 원하는 것을 얻을 수 있다는 (자신감을) 확실히 느꼈다라는 생각이 듭니다. 금융권을 공격해서 금전적인 이익을 얻든, 방산업체를 공격해서 정보를 훔치든 북한 해킹조직들의 공격은 앞으로 수그러들 것 같진 않습니다. 지금 쌓아놓은 북한의 역량은 앞으로도 계속 발전돼 이를 바탕으로 공격은 아마 늘어날 거라고 예상을 하고 있습니다.
기자 :앞으로도 북한 해킹조직의 공격이 늘어날거라고 예상될 거라고 했는데 최근 미국 연방수사국(FBI)을 통해 확정된 암호화폐 기술 기업'하모니 그룹'해킹 사례처럼 북한 해킹조직의 암호화폐 거래소를 위주로 한 공격이 증가하고 있습니다. 또, 백악관에 따르면 지금까지 북한 해커들이 지금까지 약 10억 달러 이상의 암호화폐를 탈취다고 하는데요. 일부는 현금화 과정에서 압수됐다고도 하는 보도도 나왔습니다. 이런 상황에서 앞으로 암호화폐 탈취 시도가 늘어날 것이라고 보시는가요?
박 연구원 :암호화폐 산업군에서 이(북한 해킹) 그룹들의 공격이 탐지된 게 6~7년 정도 된 것 같은데, 암호화폐 산업군이 부흥이 되면서 거의 동시에 공격이 시작됐습니다. 암호화폐 기술은 익명성을 제공하는 특징을 갖고 있기 때문에 공격자들 입장에서도 자신의 존재 자체를 들키지 않고 현금화하기도 쉽습니다. 그들도 이를 느꼈기 때문에 공격이 수그러들 것 같지는 않습니다. 최근 저희(카스퍼스키)가 또 다른 북한 해킹 조직인'블루노로프'(Bluenoroff)라는 그룹에 대해서 분석글을 하나 공개를 했었는데, 이 그룹은 최근 몇 년 동안 사용해오던 (암호화폐 거래소에 대한) 공격 방식을 많이 변했습니다. 새로운 공격 방식을 업데이트해가면서 지속적으로 공격을 하겠다는 의지를 보이고 있습니다. 그래서 앞으로도 더 활발해지면 활발해졌지 수그러들거나 적어질 것 같지는 않습니다.
기자 :북한에서는 인터넷이 보급화 되지 않았고, 휴대폰 사용자도 적습니다. 그런데 북한 해커들은 전 세계를 휘젓고 있는 모습인데요. 박 연구원님이 지켜보신 북한 해커들의 수준은 어떤가요?
박 연구원 : (북한 해킹)그룹들의 발전됐던 모습들을 보면, 예전에는 악성 코드 자체가 정교화돼 있거나 수준이 높지 않았습니다. 분석하는 사람의 입장에서도 까다롭지 않았습니다. 쉽게 분석이 됐고, 대응 방안들을 쉽게 마련했었는데 최근에는 악성코드의 업데이트 주기가 상당히 빨라졌습니다. 예전에는 하나의 악성코드를 만들어서 2년, 3년을 사용했으면 최근에는 그 업데이트 주기가 6개월, 이런 식으로 짧아진 상황입니다. (북한 해킹조직들의) 새로운 공격 기법들은 그들뿐만 아니라 보안 연구원들 사이에서도 연구해서 공유하는 사례들이 많이 있습니다. 모의 해킹을 하는 분들이 연구를 해서 오픈소스에 공유하면, 북한 해킹조직들이 이를 보고 보완해 다시 공격하는 사례들도 상당히 많이 봤습니다. 한 달 안, 몇 주 안에 새로운 방식을 받아들여서 바로 공격을 감행합니다. 상당히 부지런하고 어쩔 때는 저도 자극을 받을 정도로 저보다 더 열심히 트렌드(추세)를 쫓아 공격에 적용하는 걸 보면 깜짝 놀랄 때가 많이 있습니다.
기자 :인터넷 보안 커뮤니티에서 공유하고 있는 자료들을 재빠르게 획득을 해서 자기 것으로 만들어서 직접 사용한다는 말씀이신 거죠?
박 연구원 :네 그런 경우들도 많이 있습니다. 악성코드 자체의 어떤 난이도나 정교함 정도도 예전에 비해서는 많이 향상된 상태입니다.
기자 :최근에 나타나고 새롭게 나타나고 있는 북한 해킹조직의 새로운'사회공학적인'방법이 좀 눈에 띄는 게 있나요. 얼마 전에는 카카오톡 사칭 피싱 이메일도 나오고 있다는 한국에서의 보도도 나왔던 것 같은데요.
박 연구원 : '사회공학적인 공격' 중에 북한 해킹 조직들이 많이 사용하는 것 중에 하나가 암호화폐 거래소를 공격할 때 암호화폐, 블록체인 관련된 인물들이 많이 활동을 하는 커뮤니티들에서 활동한다는 것입니다. 주로 사회관계망 서비스 링크드인이나 트위터같은 곳입니다. 일단 이곳에 가짜 계정으로 접속을 해서 그 안에서 많은 활동을 합니다. 신뢰를 얻기 위해서 주로 영어로 많은 대화를 하죠. 신뢰를 얻고 나서 사람들에게 천천히 접근을 합니다. '내가 프로그램이 있는데 한번 테스트해 볼 수 있겠냐', '당신 시스템에 상당히 관심이 많으니 한번 같이 해볼 수 있겠냐'등 사업 제안도 하고요. 신뢰를 많이 얻은 이후에 공격을 하기 위한 악성 코드를 전달을 하는 방식입니다. 예전에는 이메일로 첨부 파일 첨부해서 그냥 보내는 쉬운 공격들이었는데, 최근에는 신뢰를 기반으로 한 공격들이 많습니다.
기자 :암호화폐에도 물론 관심이 있겠지만 전문 지식 같은 것도 좀 구비가 돼야 신뢰를 쌓고 얘기를 할 수 있잖아요. 이런 것들이 갖춰져 있다는 것으로 보입니다.
박 연구원 :네 맞습니다. 제가 좀 놀랐던 것 중에 하나가 공격 대상이 많이 사용하는 프로그램의 리스트나 세부사항을 많이 알고 있더라고요. 예를 들어서 보안업계에 있는 사람들을 공격한 적도 있습니다. 그럴 경우 공격 대상이 사용하는 툴을 변조해서 공격을 한다거나 아니면 의료 쪽 산업분야를 공격할 때는 의료 산업군에서 사용하는 프로그램과 유사한 형태로 제작을 해서 공격을 한다거나 맞춤형 형태로 악성 코드를 제작을 해서 전송을 했습니다. 그래서 그런 것들을 보면 공격을 시작하기 전에 사전 학습 단계가 상당히 오랫동안 있었다는 걸 느낄 수 있었습니다.
기자 :그렇다면 북한 해킹조직의 공격에 대해 기관이나 개인들은 어떻게 대응을 해야 될까요?
박 연구원 : 북한의 해킹 공격이 개인이든 기관이든 그들이 사용하는 공격 기법이 현저하게 다르진 않습니다. 기관에 드릴 수 있는 말씀은 공격에 대비를 하려면 그동안의 (북한 해킹 조직의 공격에 대한) 이해가 필요하다고 생각합니다. 기관들이 이들이 어떤 공격 방식을 사용하고, 어떤 사회공학적인 공격 기법을 사용하고, 어떤 산업군을 공격하는지를 이해를 해야합니다. 그 전체적인 이해를 기반으로 지켜야 될 자산들이 무엇인지 이해하고 이를 바탕으로 방어 기법을 세우는 게 필요한 것 같습니다. 개인들은 특별히 드릴 수 있는 것들이 많지는 않습니다. 보안 향상을 위해서 백신을 잘 설치를 한다거나, 의심되는 링크를 클릭하지 않는다거나, 모르는 이메일이 오면 한 번 더 의심을 한다거나 일반적인 조언을 드릴 수 있습니다.
기자 박재우, 에디터 양성원, 웹팀