“미 사이버사령부 경고한 악성 소프트웨어, 북한 해킹그룹 연계 의심”

미군 사이버사령부 산하 함대사이버사령부 통제실. (자료사진)

미군 사이버사령부가 최근 악성 소프트웨어 샘플을 공개하고 사용자들의 주의를 당부했습니다. 전문가들은 이 소프트웨어가 북한 해킹그룹 라자루스, 또는 APT38의 소행일 가능성을 제기하고 있습니다. 조상진 기자가 전해 드립니다.

미군 사이버사령부는 14일, 바이러스토털 사이트에 북한 해킹그룹과 연관된 것으로 추정되는 악성 소프트웨어 샘플을 공개하고 위험성을 경고했습니다.

구글의 자회사인 바이러스토털은 악성코드나 바이러스 여부를 검사하고 확인할 수 있는 사이트로, 북한은 지난 3월 직접 제작한 ‘실리 왁찐’이라는 악성코드를 백신 프로그램으로 사칭해 이 사이트에 올리기도 했습니다.

사이버사령부는 바이러스토털에 2개의 소프트웨어를 공개했는데, 유명 백신 프로그램으로 검진한 결과 각각 35개와 25개 프로그램에서 악성 소프트웨어로 판정받았습니다.

이는 전체의 절반이 넘는 백신 프로그램으로부터 악성 소프트웨어로 판명난 것으로, 검진에는 안랩과 맥아피, 카스퍼스키 등 유명 컴퓨터 바이러스 백신 프로그램이 사용됐습니다.

악성 소프트웨어는 대체로 ‘트로이 목마’ 바이러스의 변종인 트로이 뱅커와 트로이 제네릭 등으로 분류됐는데, 이들은 일반 바이러스나 웜처럼 컴퓨터에 직접적인 피해를 주지 않지만, 악의적인 제 3자가 컴퓨터에 침투해 원격 조종을 할 수 있도록 하는 프로그램입니다.

특히 트로이 뱅커는 온라인 뱅킹시스템을 해킹하거나 금융 기관에서 관련 기밀정보를 빼내기 위한 악성 소프트웨어로 잘 알려져 있습니다.

미 사이버사령부는 악성 소프트웨어의 구체적 속성에 대해서는 언급하지 않았습니다.

그러나 이들 프로그램이 전 세계 사이버 안보와 관련 산업, 공공 분야에 악영향을 끼치는 것을 차단하기 위해 공개했다고 밝혔습니다.

사이버 보안 전문가들은 이번에 공개된 악성 소프트웨어가 지난 5월 미 국토안보부와 연방수사국 FBI가 경고한 것과 동일한 악성 프로그램인 것으로 진단했습니다.

브라이언 바르톨로뮤 `카스퍼스키’ 보안 책임연구원은 미 사이버 안보 전문매체 사이버스쿠프에, “공개된 2개의 악성 소프트웨어 중 하나는 라자루스가 제작하고 사용하는 변종 악성 소프트웨어 ‘전기물고기’인 것으로 보이며, 다른 하나는 가짜 보안 암호로 확인됐다”고 밝혔습니다.

전기물고기는 해킹 초기 단계에 상대방의 컴퓨터 보안 방화벽을 뚫는 역할을 하는 일종의 터널링 도구로, 미 국토안보부와 FBI는 지난 5월 발표한 보고서에서 북한 해킹그룹이 전기물고기를 활용해 악의적 사이버 활동을 했다고 경고한 바 있습니다.

사이버 보안업체 크라우드 스트라이크의 애덤 마이어스 부사장은 비밀번호로 보호되는 실행파일과 보안 삭제 기능을 활용해 공격 사실을 숨기는 것은 금융시스템 접근을 위해 라자루스가 펼치는 전형적인 활동이라고 말했습니다.

반면 또 다른 미국의 사이버 보안업체 파이어아이의 루크 맥나마라 수석분석가는 라자루스가 그동안 2014년 미국 소니영화사 해킹 사건과 2017년 워너크라이 랜섬웨어 유포 사건 등 비금융 해킹 범죄에 주로 가담해왔다고 밝혔습니다.

그러면서, 2017년 국제 은행 간 자금결제 통신망인 스위프트를 해킹해 자금을 빼돌리려 하는 등 금융범죄와 현금 탈취에 집중해온 APT38이 이번 악성 소프트웨어의 배후일 가능성이 더 크다고 분석했습니다.

[녹취 : 맥나마라 분석가] “APT38, is a group that we've seen primarily focused on financially motivated activity in funds from bank. Lazarus, and there's a different grouping that the different organizations put in to that category. But This is likely a corporate activities that's been behind activities such as the wanna cry, ransomware attack, and a variety of other disruptive attacks. So there's a big difference, I think, in the focus that we've seen of the two different groups and what they're trying to do in their targeting.

한편 워싱턴의 민간 연구단체인 민주주의수호재단의 매튜 하 연구원은 2017년 이후 최근까지 북한 정권에 불법 자금을 조달하기 위한 수단으로 해킹이 빈번하게 발생하고 있다고 지적했습니다.

[녹취: 매튜 하 연구원] “I think that was more of a current development in latter half of 2017 we've seen the North Koreans also target. This is Swift, which is a banking messaging service to manipulate the messaging service to trick banks into providing illicit funds to their regime wallets. We saw this with the Bank of Bangladesh and I believe 2017 or early 2016, where they stole almost $80m”

대북 제재로 북한의 국제금융시스템 접근이 완전히 차단되자 라자루스가 변종 해킹 프로그램을 통해 적극적으로 돈줄 확보에 나서고 있다는 설명입니다.

보수 성향 연구기관인 헤리티지재단의 딘 쳉 선임연구원은 라자루스 등 북한 해킹그룹의 활동이 앞으로 더 교묘하고 활발해질 것으로 내다봤습니다.

[녹취: 딘 쳉 연구원] “Hacking really only requires a handful of very smart people. A lot of diligence and patience and a handful of computers in the life. And that seems to be what North Korea has done has leveraged the fact that the entire population is under largely the supervision control of the government to train, what we think are several thousand hackers, and then deploy them around the world.

딘 쳉 연구원은 가용 인원이나 장비의 제한이 상대적으로 적고 적발이 어렵기 때문에 북한 당국이 소수의 정예 해커를 활용해 제재나 감시 회피를 위한 움직임에 더욱 적극 나설 것이라고 말했습니다.

VOA 뉴스 조상진입니다.