북한 해킹조직들이 최근 구조조정을 통해 조직 간 협력과 정보 공유를 확대하고 있다는 분석이 나왔습니다. 더욱 신속하고 유연한 해킹 능력을 확보할 뿐 아니라 추적도 어렵게 만들고 있다는 진단입니다. 조상진 기자가 보도합니다.
세계 최대 인터넷 검색 기업인 구글 산하 사이버 보안업체 ‘맨디언트’가 국제사회의 대북 해킹 대응에 있어 판도를 바꿀 만한 ‘구조조정 및 조직 재편’ 움직임이 최근 북한의 해킹조직들에게서 포착됐다고 밝혔습니다.
맨디언트가 10일 공개한 ‘2023 북한 사이버 구조와 연관성 평가’ 보고서 작성에 참여한 마이클 반하트 수석분석가는 11일 VOA에 “지난 2019년 신종 코로나바이러스 대유행을 전후로 북한 내 여러 해킹조직의 임무에 변화가 감지됐다”고 설명했습니다.
[녹취: 반하트 수석분석가] “So it did come to some surprise that in the middle of the pandemic we started we were looking around and we saw Tim hermit which is a group with a focus on defense department defense industrial base. We saw them working with Kim Suuki and by that I mean one of the signature malwares were dropping another different type of payload and vice versa. That's something that it really caught us off guard but we weren't really sure what's going on. But we definitely saw we saw that again these are two different groups that don't care about COVID and I'm going somewhere here but then they stopped did a complete 180 and both of them started working together to go after COVID information.”
북한 정찰총국 산하 해킹 조직으로 라자루스의 하부 조직으로 알려진 템프 허밋(Temp Hermit)과 김수키로 알려진 ‘APT43’ 등 주로 외국 정부 기관과 국방, 통신 분야 해킹에 주력해온 해킹조직들이 기존 업무를 중단하고 신종 코로나바이러스 백신 분야를 해킹하기 위한 활동을 시작한 것을 추적 결과 확인했다는 것입니다.
그러면서 “이들뿐 아니라 다른 여러 북한 해킹조직들이 기존에 알려진 임무와 전혀 다른 해킹 임무를 수행하고 심지어 협업하는 것은 과거의 전례에 비춰봤을 때 완전히 달라진 움직임”이라고 평가했습니다.
반하트 수석분석가는 북한 해킹조직들은 정찰총국과 인민군 산하 조직으로 소속이 구분돼 있었고 신종 코로나바이러스 대유행 전까지는 대외적으로 정체를 드러내지 않기 위해 서로 협업이나 소통이 거의 이뤄지지 않았다고 지적했습니다.
그러나 최근에는 구조조정을 통해 기존 담당 분야, 임무, 목표에 관계 없이 해킹 조직 간 협업과 분야 파괴가 이뤄지고 있다면서 “이는 북한 해킹에 대한 대응도 완전히 달라져야 한다는 것을 의미한다”고 지적했습니다.
반하트 수석분석가는 북한은 이제 해커의 소속과 임무 변경, 통합과 해체를 자유자재로 하고 있는 것으로 보인다면서 “북한은 우리가 생각하는 방식으로 행동하지 않는다는 것을 알아야 한다”고 말했습니다.
그러면서 북한 해킹조직에 대한 기존 분류에서 벗어나야 하며, 기존 관념을 바꿔 북한이 하는 방식에 맞춰 대응해 나가야 한다고 제언했습니다.
반하트 수석분석가는 북한이 다양한 해킹조직 간 업무를 효과적으로 조율하고 통제하기 위해서 ‘상위 통합 운영 조직’을 별도로 만들어 운영하고 있는 것으로 추정하면서, 앞으로 북한의 해킹이 더욱 체계적이고 위협적이 될 것이라고 우려했습니다.
[녹취: 반하트 수석분석가] “I think there are a couple of governing bodies being the mediator between the different organizations within North Korea. North Korea have taken some type of note from that this streamlining of efforts that makes things much faster.”
반하트 수석분석가는 북한의 가장 큰 관심과 목표는 암호화폐 탈취라면서, 앞으로 해당 분야에서 북한 해킹조직 간 다양한 협력과 집요한 공격을 더 보게 될 것이라고 지적했습니다.
또 북한은 조직 쇄신을 통해 국제사회의 제재에 한발 앞서 신속히 대응하고 있는 것으로 진단하면서, 북한의 제재 회피를 막을 수 있는 방법은 민관이 협력해 북한 해킹 조직과 수법에 대한 정보를 활발히 공유하고 제재에 미리 대비할 수 없는 더욱 촘촘한 제재 집행이 필요하다고 강조했습니다.
앞서 구글 산하 사이버 보안 기업 맨디언트는 10일 공개한 북한 사이버 보고서에서 APT 38, 안다리엘, 템프 허밋 등 외부에 알려진 북한 해킹조직들이 최근 전례없이 긴밀하게 협력하고 있다고 지적했습니다.
특히 이들이 특정 분야와 관계없이 표적을 바꿔가며 핵과 미사일 무기 등에 대한 정보와 암호화폐 탈취 등에서 공격을 가속화하고 있다고 분석했습니다.
보고서는 이 같은 북한 해킹조직의 변화는 신종 코로나바이러스 대유행 이후 두드러졌다면서, “북한은 한반도 안팎에 있는 인민군과 그 대리인들을 통해 해킹 공격 작전을 수행해 왔지만, 신종 코로나바이러스에 따른 봉쇄로 그 같은 작전 방식을 바꿀 수밖에 없었을 것”이라고 지적했습니다.
북한은 앞서 ‘신종 코로나바이러스 감염증이 확산하는 동안 북한의 사이버 공격이 크게 강화됐다’는 국제사회의 지적에 대해 강력히 반발한 바 있습니다.
북한 외무성은 2021년 10월 28일 ‘과연 가해자와 피해자는 누구인가' 제목의 글에서 이 같은 내용을 지적한 미국 사이버보안기업의 '디지털 방위 보고서'에 대해 “미국이 자신들의 정탐범죄 행위들은 어물쩍 넘어가고, 아무런 근거나 사실 자료도 없는 해킹 공격설을 계속 꾸며 여러 주권국에 대한 비난 공세에 열을 올리고 있다"고 주장한 바 있습니다.
VOA 뉴스 조상진입니다.
Forum