북한의 사이버 공격이 신종 코로나바이러스 기간 매우 활발한 양상을 보였다고, 미국의 정보기술(IT) 기업인 ‘마이크로소프트’가 밝혔습니다. 북한은 대대적인 공격을 감행해 성공률은 낮지만 소수에게 큰 피해를 입히는 특징이 있다고 지적했습니다. 함지하 기자가 보도합니다.
마이크로소프트는 7일 공개한 보고서에서 지난해 북한의 사이버 관련 활동이 급증했다고 밝혔습니다.
마이크로소프트는 이날 2021 회계연도 상황을 담은 ‘디지털 방위 보고서(Digital Defense Report)’에서 지난해 마지막 3개월 동안 자사 경보 서비스인 ‘NSN’의 알림 절반 이상이 ‘북한 행위자’들에 대한 것이었다고 강조했습니다.
북한의 공격 대상은 미국과 한국, 일본 세 나라에 집중됐으며, 주로 북한이 얻기 힘든 ‘정보’ 취득이 목적이었다고 보고서는 밝혔습니다.
특히 마이크로소프트를 겨냥한 공격은 대부분 기업이 아닌 일반 소비자 계정을 목표로 했다며, 이들 계정 소유자들은 북한이 대외적으로 확보하기 힘든 외교 혹은 지정학적 정보를 갖고 있을 가능성이 있었다고 밝혔습니다.
공격이 외교관과 학자들, 민간 연구기관 관계자들에게 집중됐다는 설명입니다.
마이크로소프트는 전 세계 해킹그룹에 ‘원소 기호’를 붙여 관리하고 있는데, 과거 해킹범죄로 미국 법원에 피소됐던 ‘탈륨’을 비롯해 ‘징크(아연)’과 ‘오시뮴’, ‘세륨’ 등 총 4개 그룹이 북한의 해킹조직으로 꼽혔습니다.
보고서에 따르면 ‘징크’는 북한의 해킹조직으로 알려진 ‘라자루스’ 혹은 ‘미로 천리마’이며, ‘탈륨’은 ‘킴수키’ 혹은 ‘벨벳 천리마’, 또 ‘세륨’과 ‘오시뮴’은 각각 ‘킴수키’와 ‘코니’입니다.
또 이들 해킹조직들에게는 각각의 공격 목표가 있다며, ‘징크’가 공공사업체와 일반 기업, 민간 연구기관 등을 겨냥했다면 ‘탈륨’은 외교관과 학자 등을 공격했다고 보고서는 설명했습니다.
보고서는 또 정보 탈취를 목적으로 한 공격에 주로 ‘탈륨’과 ‘징크’가 포착됐지만, 종종 ‘오시뮴’과 ‘세륨’ 등도 협업했다고 분석했습니다.
이런 가운데 보고서는 북한이 신종 코로나바이러스 상황 속에서 여러 나라의 제약회사와 백신 연구기관 등을 목표로 삼은 점을 지적하면서, 이들 공격에 ‘징크’와 ‘세륨’이 동원됐다고 밝혔습니다.
보고서는 이밖에 암호화폐와 지적재산을 겨냥한 북한의 사이버 범죄도 지적했습니다.
보고서는 “이미 제재로 압박을 받고 있는 북한 경제는 신종 코로나바이러스 이후 국경 봉쇄로 더 큰 어려움에 처했다”며 사이버를 이용한 절도는 이런 손실을 매울 수 있는 수단이 됐다고 밝혔습니다.
그러면서, 아직 마이크로소프트가 이름을 부여하지 않은 한 조직은 종종 암호화폐 혹은 블록체인 신생 기업을 가장해 암호화폐 관련 회사 등에 ‘스피어 피싱’ 즉 맞춤형 악성 이메일 공격을 가했다고 밝혔습니다.
아울러 보고서는 북한 해커들이 수 개월간 보안회사나 보안 전문가로 보이는 가짜 계정을 만들어 유지하는 방식으로 전 세계 보안 전문가들을 겨냥했다고 지적했습니다.
이런 공격은 이전에 볼 수 없던 수법인 것은 물론, 즉각적이기보다는 장기적인 효과를 노린 것이었다고, 보고서는 밝혔습니다.
보고서는 북한의 사이버 공격이 다른 나라들과 일부 차이를 보인 사실에도 주목했습니다.
북한의 ‘탈륨’과 같은 조직은 사이버 범죄에서 매우 낮은 성공률을 보였는데, 이는 이들이 외과수술과 같은 공격보다는 대규모 ‘스피어 피싱’과 같은 전략을 사용했기 때문이라는 겁니다.
보고서는 이런 방식의 공격은 성공률이 낮을 수 있지만 시도 횟수가 많아 여전히 피해자를 만들어낸다고 지적했습니다.
한편 이번 보고서는 북한과 러시아, 중국, 이란을 ‘빅 포(Big Four)’ 즉 주요 해킹범죄 4개국으로 지목했습니다.
이 중 공격 횟수가 가장 많은 나라는 러시아였고, 이어 북한과 이란, 중국 순이었습니다.
보고서는 특히 러시아의 해킹범죄 성공률이 과거 21%에서 32%로 급증했다며 전 세계 기관과 개인들의 주의를 당부했습니다.
VOA 뉴스 함지하입니다.