미 정부, 북한 악성코드 추가 공개…전문가 “사이버공격 수법 진화”

지난 2017년 12월 백악관에서 북한의 워너크라이 사이버 공격에 대한 미국 정부의 조사 결과를 발표하는 기자회견이 열렸다.

미국 정부가 북한의 악성코드 유포와 악의적 사이버 활동 정황을 파악한 분석보고서를 추가로 내놓았습니다. 미국 정부가 배후에 북한이 있는 것으로 지목한 워너크라이 공격이 일어난 지 3년이 지나는 동안 북한의 사이버공격 수법이 진화하고 있다는 지적이 나옵니다. 김영교 기자가 보도합니다.

미국 국토안보부 산하 사이버 보안·기반시설 보안국(CISA)과 국방부, 연방수사국(FBI)이 12일, 북한 정부가 이용하는 것으로 여겨지는 악성코드의 변종에 대한 분석보고서 3개를 발표했습니다.

CISA는 이 분석보고서에 담겨진 정보가 국토안보부와 국방부, FBI가 공동으로 분석한 결과물이라면서, 북한 정부 내 사이버 활동 조직이 이용하는 도구와 시설에 대한 기술적인 세부 내용이 포함돼 있다고 밝혔습니다.

미국 정보 당국이 북한 악성코드를 추가로 공개한 이날은 미국 정부가 배후로 북한을 지목했던 ‘워너크라이’ 공격이 일어난지 3년이 되는 날입니다.

‘워너크라이’는 2017년 5월 12일부터 악성코드를 기반으로 이뤄진 대규모 사이버공격으로, 전세계 100여개 국의 컴퓨터 12만대 이상을 감염시킨 것으로 파악되고 있습니다.

당시 감염된 컴퓨터에는 20개의 언어로 비트코인을 지급하면 풀어주겠다는 메시지를 띄워, 현금 탈취가 공격의 주 목적임을 드러낸 바 있습니다.

이후 2017년 말 미국 정부는 ‘워너크라이’의 공격 배후로 북한을 공식 지목했습니다.

CISA는 이번 보고서에서 미국 정부는 북한 정부가 행하는 악성적인 사이버 활동을 ‘히든코브라’로 부르고 있다면서, 이번에 새로 공개된 북한 소행의 악성코드의 변종 3종은 ‘카퍼헷지(COPPERHEDGE)’와 ‘테인티드스크라이브(TAINTEDSCRIBE)’, 그리고 ‘페블대시(PEBBLEDASH)’로 지칭했습니다.

미국의 사이버 보안업체 ‘파이어아이(FireEye)’의 벤 리드 분석관은 12일VOA에, 이번에 공개된 악성코드가 획기적인 면은 없지만 변종을 많이 파악할수록 유리하다고 말했습니다.

[녹취: 리드 분석관] “It is always helpful to get new samples to make sure your detections are robust and you can ensure that you're sort of detecting all the different variants of these types of samples.”

이런 정보가 공개되면 각 기업들이 다양한 변종의 악성코드에 제대로 대비를 하고 있는지 스스로 확인할 수 있다는 겁니다.

리드 분석관은 또 ‘워너크라이’ 공격이 일어난지 3년이 지나는 동안 북한의 사이버 해킹 수법은 새로운 역량을 추가하며 진화하고 있다고 지적했습니다.

[녹취: 리드 분석관] “Yeah, they definitely continue to evolve, adding new capabilities. What are the biggest things has been marked by these last three years it's really a diversification of their financially motivated operations. They've exposed spread to multiple different actor groups that we believe.”

가장 두드러지는 점은 북한이 ‘금융적인 동기’에서 비롯된 활동을 다각화하고 있다는 겁니다.

또 북한 정권이 다양한 조직을 활용해 현금 편취에 나서고 있다고 설명했습니다.

[녹취: 리드 분석관] “Now sort of a lot of the different groups are doing financial things and it's also diversified in terms of the types of financial attacks they're going after again early on was the SWIFT interbank transfer targeting stuff. And more recently, it's been sort of over the past three years, with a lot of cryptocurrency targeting. There's been ATM cash out operations. It's really been a diversification in terms of the way they're trying to monetize hacking.”

금융기관 간 국제결제업무를 하는 스위프트(SWIFT) 전산망을 해킹한다거나 가상화폐를 노리는 행위, 또 현금자동인출기(ATM) 서버를 공격한 사례 등, 해킹을 통해 돈을 버는 수법이 다각화되고 있다는 설명입니다.

미국 국방부 산하 사이버사령부도 이날 악성코드나 바이러스를 검사하는 ‘바이러스토털 사이트’에 같은 내용의 북한 악성코드 샘플을 공개하고 위험성을 경고했습니다.

그러면서 보안 관계자나 일반 사용자들이 바이러스를 검사하고 정보를 공유하는 사이트에 악성코드 샘플을 올려 많은 사용자들에게 주의를 당부하고 피해를 막기 위한 조치라고 설명했습니다.

폴 나카소네 미 사이버사령관은 올해 3월 의회 청문회에서, 사이버 상에서의 미국을 공격하는 적대국에게는 책임을 물을 것이라고 강조했습니다.

[녹취 : 나카소네 사령관] “To impose costs on our adversary, any adversary that intends to interfere with a democratic process should know that we are going to take action. We have the authorities, we have the policy, we have the strategy, we have the will.” 미국의 민주주의적 절차에 방해하려는 의도가 있는 적대국에게는 행동으로 보여줄 것이라는 겁니다.

나카소네 사령관은 미국에게는 그렇게 할 수 있는 권위와 정책, 전략 그리고 의지가 있다고 강조했습니다.

지난해부터 미국 정부는 북한의 사이버 공격에 대해 적극적, 공개적 방어를 한다는 ‘지속적 개입’ 방침 아래 대응하고 있습니다.

VOA뉴스 김영교입니다.