바로가기 메뉴
메인메뉴 바로가기
본문 바로가기

주간조선 로고

상단주메뉴

  • [기고] ‘라자루스’ ‘APT38’ 北 해킹조직의 실체
  • facebook twiter
  • 검색
  1. 정치
[2528호] 2018.10.15
관련 연재물

[기고] ‘라자루스’ ‘APT38’ 北 해킹조직의 실체

유동열  자유민주연구원 원장 

▲ 지난 9월 27일 경찰청 사이버안전국은 국내 비트코인 거래소들을 대상으로 해킹이 시도된 사건을 수사한 결과 북한 소행임을 확인했다고 밝혔다. 이날 오전 경찰청에서 김영운 사이버안전과 팀장이 사건 개요 등을 브리핑하고 있다. photo 뉴시스
지난 10월 2일(현지시각) 미 국토안보부(DHS)와 연방수사국(FBI) 등은 북한의 해킹조직인 ‘히든 코브라(Hidden Cobra)’가 은행의 소매 결제 시스템을 감염시킨 뒤 ATM(현금자동인출기)에서 현금을 빼돌리는 ‘패스트캐시(FAST Cash)’ 수법을 사용하는 것을 확인했다고 밝혔다. 히든 코브라는 최소 2016년 후반 이후부터 아프리카와 아시아의 은행들을 대상으로 이 수법을 사용했고 2017년에만 30개 국가에 있는 ATM에서 동시에 현금을 탈취했다는 것이다. 올해에는 23개국 ATM에서 현금을 탈취했는데 이 금액이 수천만달러에 달하는 것으로 추산된다고 밝혔다. 다음 날(10월 3일) 미국 사이버보안업체 ‘파이어아이(Fire Eye)’는 미국 등 전 세계 11개국의 16개 은행을 해킹해 11억달러(약 1조2000억원)를 빼돌리려 한 북한의 해킹조직 ‘APT38’이 적발됐다며 그 실체와 수법을 공개하기도 했다.
   
   북한 해킹조직의 사이버상 금전탈취는 어제오늘의 일이 아니다. 2017년 워너크라이(Wanna Cry) 랜섬웨어 사건이 대표적이다. 당시 북한 해킹조직은 5월 12일부터 대규모 사이버 공격을 단행하여 전 세계 99개국의 컴퓨터 23만대 이상을 감염시켰다. 이들은 윈도 서버블록메시지(SMB) 취약점을 이용해 워너크라이 랜섬웨어를 유포하며 비트코인을 지급하면 풀어주겠다는 협박 메시지로 12만6623달러(약 1억4151만원)를 탈취하였다. 그러나 이 역시 북한 해킹조직의 금전탈취 작전의 극히 일부분이고 푼돈에 불과하다는 것이 전문가들의 지적이다.
   
   2016년 3월 5일 뉴욕 연방준비은행에 예치해둔 방글라데시 중앙은행 돈 1억100만달러(약 1167억원)가 해킹으로 순식간에 빠져나간 사건이 발생했다. 당시 뉴욕 연방준비은행에는 방글라데시 중앙은행 명의로 총 35건의 이체 요청이 접수되었다. 이체에 필요한 은행코드 등이 있었기 때문에 절차에 따라 금액을 이체하는 중이었다. 35건 중 5건의 계좌이체 요청이 승인되었고, 8100만달러(약 900억원)는 필리핀 은행을 통해 빠져나갔다. 2000만달러는 스리랑카 은행으로 이체됐지만 인출 직전 스리랑카 금융당국이 인출을 막았다. 필리핀 계좌로 이체된 돈은 이미 카지노 등에서 자금 세탁을 마쳐 회수하지 못했다. 결국 공격자가 방글라데시 중앙은행의 국제은행간통신협회(SWIFT) 전산 시스템을 해킹해 결제코드를 탈취해서 돈을 빼간 것으로 밝혀졌다. 이 사건은 세계 해킹사에 한 획을 그은 금전탈취 사건이다. 공격자 입장에서 볼 때 007작전을 방불케 하는 쾌거(?)였다. 미국 NSA(국가안전국)와 세계 사이버보안 기업들은 배후로 북한의 해커팀인 ‘라자루스그룹(Lazarus Group)’을 지목했다. 북한은 같은 시기 방글라데시 중앙은행 외에도 전 세계 10여개 은행에 대한 해킹을 감행한 것으로 밝혀졌다.
   
   지난해 국내에서도 북한에 의한 ATM 해킹사건이 발생하여 23만여명의 금융정보와 1억264만원이 탈취당하는 사건이 벌어졌다. 당시 ‘인터넷 나야’는 랜섬웨어 협박에 굴복해 13억원을 지출하기도 했다. 국가정보원은 올 2월 5일 열린 국회 정보위원회에서 “북한이 지난해 국내 가상통화 거래소를 최소 두 군데 이상 해킹해 260억원 상당의 가상화폐를 탈취했다”고 보고하였다. 이렇듯 북한은 한국과 전 세계를 대상으로 다방면에서 사이버 금전탈취를 행하고 있다.
   
   

   ‘기술정찰국’에 15~20개팀 활동
   
   북한의 해킹조직은 크게 북한군과 당계열로 구분된다. 이를 정리해보면 <표1>과 같다.
   
   이 중 가장 주목할 대상은 북한 최대의 해킹 부서인 ‘기술(전자)정찰국’이다. 이 조직은 국무위원회(전 국방위원회) 직속 정찰총국의 사이버전담부서로 해킹 등 사이버공작뿐만 아니라 암호통신 분석, 통신감청 등 대남공작 관련 기술연구개발 및 기술공작도 담당한다.
   
   기술정찰국에서도 ‘110연구소(Lab 110)’는 정찰총국의 사이버공작을 전담하는 부서로 알려져 있다. 종래의 ‘121소’(일명 기술정찰조)와 ‘100연구소’를 통합한 부서인데, 사이버공간을 활용하여 한국, 미국 등에 대한 전략정보 수집, 디도스 공격 등 사이버 테러와 금전탈취 등 사이버 외화벌이 등을 전담하고 있다. 이 부서는 2009년 7·7 사이버대란, 2011년 3·3 디도스공격, 농협전산망 무력화, 2013년 3·20 사이버공격과 6·25 사이버공격, 2014년 소니픽처스 해킹 등을 자행한 바 있다. 세계적인 해킹조직으로 알려진 ‘라자루스그룹’이 바로 기술정찰국(110연구소)이다. 세계 사이버보안 전문업체인 시만텍, 파이어아이, 카스퍼스키랩 등은 2014년 소니픽처스 해킹 조사 분석 후 해당 사고를 일으킨 조직 이름을 ‘라자루스’로 명명했다. 이후 라자루스는 자신들의 명성을 입증하듯이 세계 여러 금융기관을 직접 공격하는 데 주력했고, 2016년 방글라데시 중앙은행에서 8100만달러를 탈취하는 도둑질을 저질렀다. 그런데 이 라자루스가 바로 북한 국무위원회 직속 정찰총국의 정예 부서인 것이다.
   
   기술정찰국이 운용하는 해킹팀들은 이밖에도 많다. ‘APT38’ ‘템프허밋(TEMP·Hermit)’ ‘히든 코브라’ ‘APT37’ ‘천리마(미로 천리마, 침묵 천리마, 별똥 천리마 등으로 구분)’ ‘Group 123’ ‘니켈 아카데미(Nickel Academy)’ ‘리퍼(Reaper·죽음의 신으로도 불림)’ 등이 기술정찰국이 운용하는 해킹팀들로 알려져 있다. 기술정찰국에만 15~20여개 해킹팀이 활동하고 있는 것으로 알려져 있다. 이들 팀들은 일정 기간 특정한 타깃(Target)을 대상으로 하는 금전탈취 등의 작전을 마치면 또 다른 작전에 투입되기 때문에 새로운 조직처럼 보이나 기본적으로 중복된 팀들인 경우가 많다.
   
   정찰총국이 운영하는 해킹팀들은 중국 선양·다롄·광저우·베이징, 몽골 등 전 세계에 무역회사 등으로 위장한 수십 개의 사이버공작 거점을 두고 해킹 등 사이버공작을 수행하고 있다. 올 8월, 미 법무부는 소니 해킹과 워너크라이 랜섬웨어의 생성, 배포 혐의를 받고 있는 북한 해커 박진혁(Park Jin Hyok)에 대한 기소장을 공개했다. 이에 따르면 박진혁은 중국 국경 지대에서 북한 정부의 유령회사인 조선 엑스포(Chosun Expo) 직원으로 일하고 있었다. 이 회사는 무역업체가 아니라 해킹공작 거점이었다. 이들은 사이버 외화벌이 차원에서 도박 및 게임 프로그램 개발과 불법 사이버 도박회사 등을 운영하는가 하면, 사이버 금전탈취와 테러를 자행하는 등 온·오프라인 공작을 함께 벌여왔던 것으로 밝혀졌다.
   
   
   북한의 해킹 역량 세계 4위 수준
   
북한의 해커 양성 시스템은 체계적이다. 평양컴퓨터기술대학, 김책공대, 김일성종합대 등에서 양성된 사이버요원 중 우수 요원을 차출하여 국방과학연구원, 북한군 총참모부 지휘자동화대학(김일정치군사대학, 구 미림대학), 김일성군사대학, 정찰총국 모란봉대학 등에서 사이버전을 전문적으로 가르친다. 이 과정을 통해 정예 사이버요원으로 육성시켜 북한의 대남공작부서 내 사이버전담부서에 배치하여 실전에 투입하고 있다.
   
   북한 사이버전담부서의 정예요원은 2016년 말 기준 작전 인력 1700여명(7개 조직), 지원 및 기술 인력 5100여명(13개 조직) 등 모두 6800여명에 달했던 것으로 파악됐다. 2018년 현재는 7000명을 넘을 것으로 평가된다. 최근 미국의 사이버보안업체 파이어아이는 ‘북한이 인터넷으로 연결돼 있지 않은 대상까지 해킹할 수 있다’며 ‘북한은 세계 최고 수준의 사이버 공격 역량을 보유하고 있다’고 평가했다. 현재 북한의 사이버 인프라는 전반적으로 열악하지만, 사이버 해킹 역량만은 미국, 중국, 러시아에 이어 세계 4위로 평가되고 있다.
   
   국내에서도 작년 한 해에만 북한 소행으로 추정되는 5건의 대형 사이버 금전탈취 사건이 발생했다. 2017년 6월 가상화폐 거래소 ‘빗썸(Bithumb)’ 해킹 사건에 이어, 12월 19일에 국내 가상화폐 거래소 ‘유빗’이 해킹으로 170여억원의 손실을 당해 결국 파산을 결정했다. 이 회사는 4월에도 해킹을 당해 55억원 상당의 가상화폐를 탈취당한 바 있다.
   
   2017년 3월에는 북한 해커가 ATM에 악성코드를 심어 금전을 탈취한 사건도 발생했다. 경찰청 발표에 의하면 당시 국내 ATM기 63대가 해킹당해 23만8073명의 금융정보가 도둑질당했다고 한다. 이 금융정보로 복제카드가 만들어져 국내외에서 8833만원의 현금이 인출됐고 각종 대금결제 1092만원, 고속도로 하이패스 충전 339만원 등 모두 1억264만원이 탈취됐다. 경찰청은 전자금융거래정보를 북한 해커로부터 전달받아 유통하고, 이를 이용해 카드를 복제·사용한 피의자 4명을 검거해 정보통신망법 위반 등의 혐의로 사법처리한 바 있다. 이는 확인된 사례이고 확인되지 않은 사례를 감안하면 북한의 사이버 금전탈취로 인한 국부 유출이 매우 심각한 실정이다.
   
   
   일본 ‘코인체크’ 해킹도 북한 소행
   
   북한은 국내뿐만 아니라 세계 각국을 대상으로 사이버공간을 활용한 금전탈취를 지속하고 있다. 올 1월 26일 일본의 가상화폐 거래소인 ‘코인체크’가 해킹을 당해 580억엔(5800억원)이란 거액을 탈취당한 사건이 발생했는데 이 또한 북한 소행으로 짐작된다. 이 사건에는 북한만의 독특한 해킹 방식이 사용됐던 것으로 알려졌는데 아직도 조사 중이다.
   
   2016년 7월 7일 필자는 국군기무사 주관 제14회 국방정보보호·암호 컨퍼런스에서 ‘북한의 사이버안보 위협과 대응방안’이란 발제를 통해 한 해 북한의 사이버 외화벌이 액수가 연간 1조원대에 달한다고 평가했는데, 이 지적이 결코 과도한 추정이 아니라는 사실이 여러 사례에서 확인된다. 사이버보안업체인 파이어아이는 지난 10월 3일(현지시각) 미국 워싱턴 D.C. 힐튼호텔에서 ‘파이어아이 사이버 디펜스 서밋 2018’을 열고 전 세계 금융기관을 노리는 북한 해커조직 ‘APT38’의 공격 사례를 발표했는데 이의 배후로도 북한의 정찰총국이 지목됐다. 원래 APT(Advanced Persistent Threat)란 방어 체계를 피해 지속적으로 지능적으로 공격하는 것을 말하는데, 이를 원용해 ‘APT38’이라고 명명한 것이다.
   
   당시 ‘서밋 2018’ 발표 내용에 따르면 북한 해커조직은 외화벌이를 위해 금융기관을 집중 공격하는데, 대상 시스템에 평균 155일, 2년 가까이 잠복한다. 또 전문 악성코드를 제작하는 등 주도면밀한 모습을 보인다. APT38이라는 해커조직이 탈취를 시도한 금액만 11억달러(약 1조2000여억원)가 넘는 것으로 추산된다. APT38은 2014년 이후 최소 11개국 16개 이상의 금융기관에서 돈을 빼가기 위해 해킹을 시도한 것으로 조사됐다. 베트남 티엔퐁은행(2015년 12월), 방글라데시 중앙은행(2016년 2월), 대만 원동국제상업은행(2017년 10월), 멕시코 공적수출신용기관 방코멕스트(2018년 1월), 중남미 민영은행 칠레은행(2018년 5월) 등이 공격을 받은 것으로 알려졌다. 2015년 에콰도르 은행 방코 델 오스트로가 해킹을 당해 1200만달러를 탈취당한 바 있는데, 파이어아이는 “APT38이 이 공격을 단행했는지 확신할 수 없으나 이전에 남미 기업을 공격한 바 있다”고 밝혔다.
   
   최근 북한이 사이버 금전탈취 외화벌이 공작에 주력하는 배경은 첫째, 연이은 핵실험과 탄도미사일 발사 실험으로 유엔 등 국제사회의 대북제재가 심화되는 상황에서 기존의 외화벌이 수단(수출, 해외노동자와 해외식당, 무기밀매 등)이 막혔기 때문이다. 새로운 외화벌이 영역으로 사이버 금전탈취에 주력하고 있는 것이다. 둘째, 기술력만 향상시키면 ‘저비용-고효율’의 수익을 가져다준다는 것도 사이버 금전탈취에 주력하는 배경으로 풀이된다.
   
   
   하루 평균 150만건 사이버공격
   
   지금 이 시간에도 북한의 사이버 요원들이 평양과 해외거점 데스크에 앉아 우리의 국가기관망, 금융망, 방송통신망, 교통망, 에너지망 및 민간 상용망 등을 대상으로 초(秒) 단위의 사이버 공격을 전개하고 있다. 실제 북한 및 해외에서 한국을 대상으로 해킹을 시도하는 건수는 하루 평균 150만건에 달한다. 1초에 18회의 공격이다. 북한은 사이버 공간과 우리 법제의 허점을 최대한 활용하여 사이버 공격을 전개하고 있다. 아직까지 파악하지도 못한 사이버 공격의 존재를 감안한다면 금전탈취 등 국부유출과 사이버안보 위협은 더욱 치명적일 것으로 보인다.
   
   이렇듯 북한의 사이버 금전탈취로 국부유출이 심각한 단계에 이르렀는데도 우리 정부의 대응은 미진하기만 하다. 최근 세계 주요 선진국은 사이버 안보 위협에 대응해 관련 법과 사이버안전전략을 새로 만들고 막대한 예산을 투자하는 등 사이버안보 시스템을 강화하고 있다. 미국은 ‘사이버안보법’(2015) 외에 ‘사이버안보 국가행동 계획’(Cybersecurity National Action Plan·2016)을 채택하여 대응하고 있다. 영국은 2016년 11월 ‘국가사이버안보전략(National Cyber Security Strategy 2016~2021)’을 발표하며 사이버 억지력을 강화하기 위해 5년간 19억파운드(약 2.8조원)의 예산을 투자하기로 했다. 일본도 ‘사이버시큐리티기본법’(2014)을 제정했고, 독일도 ‘IT보안법’(2015)을 만들었다. 프랑스의 ‘국가 디지털 안보전략’(French National Digital Security Strategy·2015), 중국의 ‘국가 사이버공간 안전전략’(2016), 러시아의 ‘사이버안보 독트린’(대통령명령 제646호·2016) 등도 마찬가지다.
   
   세계 주요 선진국들은 사이버공간에서의 초국가적 안보 위협에 대응해 사이버안보 시스템을 강화하고 있는데, 정작 대한민국은 정치권(정확히 말하면 현재 여당)의 몰이해로 사이버안보 기본법제인 ‘(가칭) 국가 사이버안보 기본법’조차 제정하지 못하고 있다. ‘안보기관의 권한남용 및 인권침해’라는 상투적인 반대논리로 사이버안보법 하나 제정하지 못하고 있는 우리의 현실은 안보위기의 방치나 다름없다. 향후 더욱 거세질 북한 및 해외 해커들에 의한 사이버공격을 억지하기 위해서는 관련법 제정과 함께 탐지·차단·복구 등의 방어 차원에서 벗어나 사이버 공격 원점을 추적하여 철저히 응징하는 공세적 대응시스템의 구축과 실행이 필요하다.
Copyright ⓒ 조선뉴스프레스 - 주간조선. 무단전재 및 재배포 금지

1건의 글이 있습니다.
  seilnews  ( 2018-10-17 )    수정   삭제
입만 열면 거짓말하는 저런넘들과 평화를 운운하는 것이 지금 종북정권의 어리석음이다.
창간 50주년 영상

주간조선 SNS

  • 페이스북
  • 트위터
  • 인스타그램
서울시의회
마음챙김 명상 클래스
삼성화재
TOP