미 보건복지부 “북한 사이버범죄 집단, 독특한 위협…국가가 배후”

미국 보건복지부가 21일 ‘의료 및 공중보건에 대한 북한과 중국의 사이버 범죄 위협’ 보고서를 발표했다.

중국과 북한의 사이버 범죄 집단이 미국에 독특한 위협이 되고 있다고 미 정부가 밝혔습니다. 특히 국가가 배후에 있는 사이버 범죄 생태계를 갖추고 있다는 지적입니다. 이조은 기자입니다.

미 보건복지부(HHS)는 미 보건 부문을 위협하는 중국과 북한의 사이버 범죄 집단은 국가가 배후에 있다는 점에서 다른 행위자들과 차이가 있다는 점을 강조했습니다.

[보고서] “China and North Korea are both significant cyber powers – China in absolute terms and North Korea in relative terms… Chinese and North Korean “cybercriminal groups” act as unique threats to the U.S. health sector…Domestic politics in both nations has created a unique cybercriminal ecosystem, where the only significant cybercriminals that exist as a threat to the U.S. health sector are state-sponsored.”

▶ 보고서 바로가기: 'North Korean and Chinese Cyber Crime Threats to the HPH'

보건복지부는 21일 발표한 ‘의료 및 공중보건에 대한 북한과 중국의 사이버 범죄 위협’ 보고서에서 “북한과 중국은 각각 상대적, 절대적인 측면에서 모두 상당한 사이버 강국”이라며 “두 나라의 ‘사이버범죄 집단’은 미 보건 부문에 독특한 위협으로 작용하고 있다”고 평가했습니다.

“두 나라의 국내 정치는 국가 지원의 사이버 범죄자들이 미 보건 부문을 위협하는 독특한 사이버 범죄 생태계를 형성하고 있다”는 설명입니다.

그러면서 “사이버 범죄 조직으로 활동하는 북한과 중국에서 비롯된 그룹들은 다른 사이버 범죄 조직의 모든 정교함을 갖추면서도 그 배후에는 국가가 지원하는 자원이 있다는 것이 가장 중요한 점”이라고 강조했습니다.

[보고서] “The most significant point is that groups originating in North Korea and China that act as cyber criminal gangs have all the sophistication of many other cybercriminal gangs, but also have the resources of a state behind them. They are state-backed criminals and they target a number of industries, including the U.S. health sector.”

이어 “이들은 국가 지원을 받은 범죄자이며 미국 의료 부문을 포함한 여러 산업을 표적하고 삼는다”고 지적했습니다.

미 보건복지부가 ‘의료 및 공중보건에 대한 북한과 중국의 사이버 범죄 위협’ 보고서에 담은 북한 사이버 프로그램 조직도.

보고서는 다만 미국의 보건 부문 등을 겨냥한 북한 사이버 공격의 목적에 대해서는 구체적으로 언급하지 않았습니다.

보건복지부 산하 정보안보실과 보건부문 사이버안보 협력 센터가 공동 작성한 이번 보고서에는 북한의 사이버 공격 유형과 이를 지휘하는 북한 정찰총국의 성격과 임무 등이 상세히 소개됐습니다.

‘김수키’ 등으로도 알려진 APT 43과 라자루스 등 북한 정찰총국 산하의 해킹조직으로 알려진 사이버 범죄 행위자들의 공격 유형과 목적도 분석했습니다.

APT 43에 대해서는 북한의 다른 국가 지원 행위자들과 고도로 협업하며 “전략적 정보 자금 조달”을 위한 사이버 범죄를 벌이고 있다고 평가했습니다.

특히 이 집단은 “고도로 맞춤화된” 스피어 피싱 이메일을 감염 경로로 사용한다며 VOA 기자를 사칭해 북한 관련 논평을 요청하는 이메일을 발송한 것을 예로 들었습니다.

미 보건복지부가 ‘의료 및 공중보건에 대한 북한과 중국의 사이버 범죄 위협’ 보고서에서 VOA 기자를 사칭한 스피어 피싱 이메일을 공개했다.

미 보건복지부가 ‘의료 및 공중보건에 대한 북한과 중국의 사이버 범죄 위협’ 보고서에서 코넬대 홈페이지로 가장한 스피어 피싱 사이트를 공개했다.

라자루스 그룹의 경우 “10년 넘게 가장 활발한 북한 사이버 위협 그룹 중 하나”라며 스파이 활동과 지적재산 탈취, 금융 사기 등에 목적으로 두고 있다고 분석했습니다.

이번 보고서는 보건복지부가 미 보건 분야를 상대로 한 북한 해킹조직의 위협을 경고한 가운데 나왔습니다.

앞서 보건복지부는 지난 18일 북한 해킹조직이 미국 보건 분야를 노리고 있다는 내용의 ‘보건 부문 사이버 주의보’를 발령한 바 있습니다.

보건복지부는 이번 주의보를 통해 미 정부 기관의 네트워크와 서버 보안 프로그램인 ‘매니지엔진(ManageEngine)’의 취약점을 악용한 공격이 있었다며, 공격 목적에 대해서는 자세히 밝히지 않으면서도 그 배후로 라자루스를 지목했습니다.

특히 미국의 사이버 보안업체 ‘시스코 탈로스’의 최근 보고서 분석을 인용해 라자루스가 미국과 유럽의 인터넷 기반 인프라와 의료 기관을 표적으로 삼고 있다면서, 이들이 미국 보건 분야 인프라 시설의 보안 프로그램의 취약점을 노렸다고 지적했습니다.

이 주의보에서도 역시 북한 해킹조직의 목적에 대해서는 자세히 언급되지 않았습니다.

미국의 사이버 전문가들은 북한이 미 의료 기관 등 주요 사회 기반 시설을 해킹해 그 대가로 암호화폐 등 금전을 요구하는 형태의 악의적 사이버 공격을 벌이고 있다고 여러 차례 지적해 왔습니다.

사이버 전문가인 매튜 하 발렌스글로벌 연구원은 VOA에 특히 북한이 의료 기관을 계속 표적으로 삼는 이유는 의료 정보의 경우 탈취되면 큰 피해를 볼 수 있는 고급 정보에 해당하기 때문이라고 지적했습니다.

[녹취:하 연구원] “Extracting information and making transactions is possible only by stealing advanced information, which is more difficult than accessing vulnerable targets. Medical information serves its purpose.

실제로 미 법무부는 지난해 7월 북한 해커들이 미국 의료기관을 대상으로 랜섬웨어 공격을 가하고 이를 해제하는 대가로 암호화폐를 탈취한 사실을 공개하고, 미국 연방수사국 FBI의 신속한 대처로 약 50만 달러 상당의 암호화폐를 회수했다고 발표했습니다.

미 국가정보국장(DNI)은 올해 초 발표한 연례 전 세계 위협 평가에서 북한의 사이버 범죄는 2020년~2023년 사이 암호화폐와 같은 블록체인 기술을 이용해 돈을 훔치기 위해 기업들을 겨냥하는 특징을 보였다고 지적한 바 있습니다.

또 2021년~2022년 사이에는 정부가 지원하는 행위자들이 랜섬웨어로 의료 회사들을 겨냥하는 것이 북한 사이버 공격의 특징이었다고 덧붙였습니다.

VOA 뉴스 이조은입니다.