“북 사이버해킹, 외화 확보와 각종 정보 탈취가 목적”

서울-목용재, 고영환 moky@rfa.org
2020-11-06
Share
fake_cia_document_b2 사진은 김수키가 해킹에 이용한 미 중앙정보국(CIA)이 생산한 것으로 추정되는 문서.
/이스트시큐리티 제공

여러분 안녕하세요. ‘시사진단 한반도’ 시간입니다. 저는 진행을 맡은 목용재입니다. 지난주 미국 정부가 이례적으로 북한발 해킹의 위협에 대해 경고했습니다. 저도 북한 해커의 소행으로 의심되는 전자우편을 지속적으로 받고 있는데요. 북한의 해킹, 좀처럼 줄어들지 않는 것같습니다. 오늘도 고영환 국가안보전략연구원 객원연구위원과 함께합니다.

목용재: 위원님, 지난 주 잘 보내셨습니까?

고영환: 네. 잘 보냈습니다.

목용재: 위원님 미국 정부가 최근 북한의 해킹 그룹으로 알려진 ‘김수키’의 해킹, 사이버 공격에 대해 경보를 내렸죠? 이 소식부터 전해주시죠.

고영환: 미 연방수사국, 즉 FBI와 미 국토안보부 사이버안보·기간시설안보국, 사이버사령부 등 미국 안보당국은 지난 10월 27일 ‘김수키’로 알려진 북한 해킹 그룹의 사이버공격을 경고했습니다. 미 안보당국은 이날 발령한 사이버 보안 경보를 통해 “북한의 지능형지속 공격 해킹그룹, 김수키는 북핵, 대북제제, 한반도와 관련한 외교 정책, 국가 안보 문제 등에 대해 집합적 정보 수집 활동에 초점을 맞춘다”며 “이들 표적은 미국, 한국, 일본”이라고 밝혔습니다. 계속해 이들 당국들은 “김수키는 북한 정권이 2012년부터 국제적인 정보 수집 임무를 부여한 곳으로 보인다”며 “과거 한국 정부, 싱크탱크, 여러 분야의 전문가들을 표적으로 삼았다”고 설명했습니다. 그러면서 사업체와 기관들이 북한의 위협으로부터 관련 네트워크를 더 잘 보호할 수 있도록 도우려고 이번 경고문을 냈다고 강조했습니다. 김수키는 주로 미국, 한국, 일본 등을 대상으로 악랄하고 불법적인 방법으로 활동하고 있는 북한 해커 집단의 이름입니다. 김수키 그룹은 한국의 기자나 전문가들을 사칭해 남북관계, 비핵화 문제 등에 대해 온라인 인터뷰 프로그램인 ‘스카이프’로 인터뷰를 하자고 요청하거나 방송에 출연해 달라는 내용의 전자우편을 보낸다고 합니다. 공격 대상자가 이에 속아 응하면 날짜를 의논하는 방법으로 신뢰관계를 일단 형성해 공격 대상에게 접근하는 수법을 사용합니다. 이들의 수법에 걸려들어 인터뷰 요청을 최종적으로 수락하면 김수키는 인터뷰 자료라며 악성코드가 담긴 첨부 문서나 인터뷰에 필요한 관련 온라인 링크 등을 전자우편으로 보내 이를 열도록 유도합니다. 이런 전자우편을 열면 공격 대상자의 컴퓨터에 있는 자료들은 모두 김수키 측으로 넘어가게 된다는 겁니다.

목용재: 미 정부 고위당국자도 최근 북한의 사이버해킹의 목적에 대해 언급한 바 있는데요. 이에 대해서도 소개 부탁드립니다.

고영환: 지난달 22일 존 데머스 미 법무부 국가안보 담당 차관보는 북한이 사이버해킹 능력을 외화를 훔치는 데 사용하는 독특한 행태를 보인다고 언급했습니다. 데머스 차관보는 이날 미국의 정책연구기관인 전략국제문제연구소의 화상 토론회에서 미국에 안보 위협이 되는 나라들은 러시아, 중국, 이란, 북한 등이라면서 특히 북한에 대해서는 “해킹 능력을 갖춘 나라들 사이에서 독특하게 은행과 돈을 훔치는 데 그 능력을 사용했다”며 “이는 중국이나 러시아 또는 이란으로부터 보이는 행동이 아니다”라고 말했습니다. 특히 이런 면을 “독특하다”고 평가했습니다. 이어 데머스 차관보는 “북한의 해킹 행위 중 많은 부분은 돈을 버는 것, 현금을 얻기 위한 것”이라며 북한 해커 그룹이 지난 2016년 방글라데시 중앙은행 계좌에서 8100만 달러를 탈취한 사례를 거론했습니다. 데머스 차관보는 북한이 핵과 미사일 개발로 인한 제재에 따라 외화가 부족하며 외화 획득 활동 가운데 일부 방안으로 사이버해킹을 사용한다며 지난 2년간 13∼14건의 북한 관련 사건을 조사했다고 밝혔습니다. 북한의 또 다른 해킹 그룹으로 추정되는 ‘탈륨’이라는 조직도 한국의 온라인과 오프라인에서 암호화폐 지갑을 공격할 목적으로 악성문서 파일을 유포하고 있는 것으로 전해졌습니다. 자유아시아방송은 보안통신 매체 ‘지디넷’ 등을 인용해 지난달 16일 한국의 현대페이가 개발한 암호화폐 하드웨어 지갑 ‘카세(KASSE)’에 대한 공격을 목적으로 하는 악성 위장 문서가 전자우편을 통해 유포되고 있다고 보도했습니다. 이 해킹조직은 지난 8월에도 ‘에이치닥’ 암호화폐 지갑 프로그램을 악성 프로그램으로 바꿔치기해 사용자에게 유포했고, 이 악성 프로그램을 내려 받은 사용자들은 암호화폐가 무단으로 출금되는 피해를 입었습니다. 이 두 사건에 대해 보안 업체들은 북한 정찰총국 소속 해킹조직 ‘탈륨’의 소행일 가능성이 높은 것으로 분석하고 있습니다.

목용재: 북한의 해킹 행위는 어제오늘일이 아닌데요. 북한의 소행으로 추정되는 최근 해킹 행위가 어떤 게 있었는지 정리 부탁드리겠습니다.

고영환: 북한의 최근 내부 소식을 위장한 전자우편 같이 컴퓨터 사용자들을 현혹하는 악성 한글 문서 파일이 연이어 발견되고 있습니다. 한국 내 통합 보안 기업인 이스트시큐리티는 지난 달 30일 이 같은 악성 파일 공격이 발견됐다고 밝혔습니다. 발견된 문서들에는 최신 북한 소식을 제공하겠다는 내용이 담겨 있는데요. 해커가 실제 탈북민이나 대북소식통으로 신분을 위장해 악성 문서를 유포하는 겁니다. 대북 분야 활동가나 전문가 그룹 등에 접근해 해킹을 시도할 목적으로 말입니다. 이스트시큐리티 시큐리티대응센터에 따르면 공격자는 초반엔 정상적인 전자우편을 수 차례 보내 공격 대상자를 먼저 안심시킨 후 신뢰가 형성됐다고 판단된 순간 악성 파일을 전달합니다. 전자우편을 회신한 사람에게만 해제 암호를 제한적으로 전달하는 1:1 맞춤형 공격을 하는 겁니다. 동 센터는 악성코드를 분석한 후 이런 공격은 해킹 조직 ‘탈륨’의 소행으로 보인다고 설명했습니다.

목용재: 저도 북한이 보낸 것으로 추정되는 전자우편을 받은 바 있고 최근에는 그 빈도가 상당히 늘어났습니다. 위원님께서도 그런 경험이 있으실 것 같은데요.

고영환: 저도 주기적으로 악성파일이 첨부된 전자우편들을 받고 있습니다. 과거엔 한국 통일부나 한국 청와대 국가안보실, 외교부, 국방부, 통일연구원 등 국가안보 기관이나 연구원들의 이름으로 “세미나에 초청한다”, “학술회의 토론자가 되어 달라”, “통일부 자료를 보내니 연구활동에 참고하시라”는 등의 내용을 담아 보내옵니다. 그러나 최근에는 해커들이 저의 지인들, 예를 들어 한국 통일부 당국자나 국립외교원 교수, 통일연구원 연구위원, 특정 대학교 교수 등 제가 잘 아는 사람들과 친구들의 이름으로 전자우편을 보냅니다. 제 컴퓨터를 감염되시켜 제 컴퓨터에 저장돼 있는 자료들, 주소록 등을 탈취하려고 하고 있는 것 같습니다.

목용재: 북한이 이처럼 사이버 해킹을 지속적으로 하는 이유는 무엇이라고 보십니까?

고영환: 북한의 사이버해킹 목적은 외화 등 자금 탈취, 첨단 산업, 국방 공업과 관련된 연구자료 등 정보 수집에 있다고 봅니다. 북한은 현재 유엔 제재, 신형 코로나와 관련한 국경 봉쇄조치로 인한 피해, 그리고 장마와 태풍 피해 등 수해로 삼중고를 겪고 있습니다. 이로 인해 북한 당국이 역점 사업으로 삼고 있는 핵과 미사일 개발에 필요한 자금, 김정은 국무위원장이 사치스런 생활을 누리는데 필요한 자금, 김 위원장이 고위급 간부들의 충성심을 고취시키기 마련해야 하는 선물의 자금 등을 확보하기 위해 비상이 걸려 있는 상황입니다. 최근 이인배 협력안보연구원장은 여의도연구원을 통해 발표한 보고서에서 북한의 암호화폐 절취가 미사일 개발의 자금 출처로 의심된다고 밝혔습니다. 이 보고서에 따르면 북한 암호화폐 활동을 추적하고 있는 미국 정보보안 업체 ‘체이널리시스(Chainalysis)’는 북한이 지난 2015년부터 지난해까지 한국을 비롯한 외국 등을 해킹해 절취한 암호화폐 규모가 15억 달러에 이를 것으로 분석했습니다. 2019년 9월 미 국무부는 라자루스, 블루노로프, 안다리엘 등 3개 북한 해킹그룹에 대한 제재를 하였으며 올해 3월에는 라자루스가 암호화폐 2억 5000만 달러를 절취했다면서 돈 세탁 과정에 연루된 중국인 2명을 기소하기도 했습니다. 한편 북한 정찰총국과 연계된 해킹 조직 ‘김수키’는 한국과 미국, 일본 등을 대상으로 정보를 탈취하기 위한 사이버공격에 집중하고 있는 것으로 알려졌습니다. 결론적으로 북한은 사이버공간을 통해 외국으로부터 불법적으로 외화를 갈취하고 산업, 국방 안보 정보를 빼가는 활동 등을 국가 차원에서 벌이고 있다는 겁니다. 세계에 국가차원에서 이같이 불량스러운 행위를 하는 국가는 북한 뿐입니다.

목용재: 한국 내에서 북한, 외교, 안보 분야에 종사하는 인사들이 북한의 소행으로 추정되는 해킹 공격을 꾸준히 받고 있습니다. 문재인 한국 대통령과 김정은 국무위원장은 남북 정상회담을 통해 모든 공간에서의 적대행위를 중단할 것을 합의한 바 있는데요. 그렇지만 북한은 사이버공간에서 한국 측을 지속적으로 공격하고 있습니다. 한국 정부가 북한에 이런 부분에 대해 명확히 문제 제기할 필요가 있어 보입니다. 오늘도 고영환 국가안보전략연구원 객원연구위원과 함께 했습니다. 감사합니다.

고영환: 감사합니다.

댓글 달기

아래 양식으로 댓글을 작성해 주십시오. Comments are moderated.