MS 보고서 “북한, 핵·미사일 정보 탈취 위해 러시아 해킹”

지난달 블라디미르 푸틴 러시아 대통령과 김정은 북한 국무위원장의 정상회담이 열린 보스토치니 우주기지에 양국 국기가 걸려있다.

북한이 핵과 미사일 정보를 탈취하기 위해 우방국인 러시아를 수차례 해킹했다는 의혹이 제기됐습니다. 북한이 러시아의 원자력 관련 기관, 항공우주 연구소, 대학, 외교 당국 등을 대상으로 전방위적인 공격을 벌이고 있다는 분석입니다. 조상진 기자가 보도합니다.

세계 최대 IT 기업 중 하나인 미국 마이크로소프트(MS)사는 5일 북한 해킹조직이 고급 정보 탈취를 위해 러시아의 주요 인프라와 정부 기관을 표적 삼아 해킹을 시도했다고 밝혔습니다.

마이크로소프트는 이날 공개한 ‘2023 디지털 방어 연례 보고서’에서 지난 한해 북한 해킹조직의 다양한 악성 사이버 행위를 지적하며, 특히 ‘핵과 미사일’ 분야 고급 정보 수집을 위해 러시아의 관련 기관들을 해킹한 사실을 거론했습니다.

보고서는 “북한은 식량을 대가로 러시아의 우크라이나 전쟁에 물자를 지원하고 있지만, 동시에 북한의 사이버 공격자들은 정보 수집을 위해 러시아의 핵과 방위 산업, 정부 기관을 표적으로 삼고 있다”고 지적했습니다.

[MS 보고서] “While North Korea provides materiel support for Russia’s war in Ukraine in exchange for food, North Korean cyber actors are also targeting Russian nuclear energy, defense industry, and government entities, likely for intelligence collection.34 In May 2023, Diamond Sleet used a trojanized VNC client to compromise a Russian nuclear energy organization. In March 2023, Ruby Sleet compromised a Russian aerospace research institute, while Onyx Sleet compromised a device belonging to a Russian university, and an attacker account likely attributed to Opal Sleet sent phishing emails to accounts belonging to Russian diplomatic government entities. North Korean threat actors may be capitalizing on the opportunity to conduct intelligence collection on Russian entities while Russia is distracted by the war.”

그러면서 북한 라자루스 그룹을 일컫는 ‘다이아몬드’가 트로이 목마 악성코드를 이용해 올해 5월 러시아의 원자력 관련 기관을 해킹한 사실을 지적했습니다.

또 이에 앞선 3월에는 북한 해킹조직 ‘킴수키’와 동일 조직인 ‘루비’가 러시아 항공우주 연구소에 침투해 악성코드를 유포했고, ‘안다리엘’로 알려진 ‘오닉스’는 러시아 대학을 해킹했으며, ‘코니’와 동일조직인 ‘오팔’로 추정되는 해킹 공격자가 러시아 외교 당국의 계정으로 피싱 이메일을 보냈다고 밝혔습니다.

그러면서 “북한의 위협 행위자들은 러시아가 전쟁으로 인해 주의가 분산된 틈을 타 러시아 기관에 대한 정보 수집을 수행할 기회를 이용하고 있을 수 있다”고 지적했습니다.

보고서에 따르면, 북한이 지난해 3월부터 올해까지 다른 나라의 방위 산업에 가한 사이버 해킹 공격은 러시아가 14%로 가장 많았습니다.

그 다음으로 10%인 미국과 이스라엘이 뒤를 이었고, 한국도 6%로 6번째로 많은 해킹 공격을 받은 것으로 드러났습니다.

마이크로소프트가 5일 공개한 ‘2023 디지털 방어 연례 보고서’에 들어있는 도표로, 북한이 외국의 방위 산업을 겨냥해 가한 해킹 공격을 가장 많이 받은 나라는 러시아(14%), 미국(10%), 이스라엘(10%) 등의 순이었다.

보고서는 또 이들 북한 위협 행위자들이 지난해 러시아뿐 아니라 지난해 11월부터 올해 1월까지 유럽의 해양 및 조선 부문 조직들을 표적으로 해킹 공격을 감행했다는 점도 지적했습니다.

그러면서 “과거 이 정도 수준으로 산업과 표적의 중복이 관찰된 적이 없었다”며 “이는 해양 기술 관련 연구가 북한 정부의 정보 수집 분야에서 높은 우선순위라는 점을 시사한다”고 말했습니다.

[MS 보고서] “We had not previously observed this level of industry and targeting overlaps, suggesting maritime technology research was a high collection priority for the North Korean government.”

아울러 북한 해킹조직이 독일과 이스라엘 소재의 무기 제조 회사에 침투한 사례도 관찰했으며, 이 중 한 해킹 조직은 올해 들어 브라질과 체코, 핀란드, 이탈리아, 노르웨이, 폴란드의 방산 기업들도 해킹했다고 보고서는 밝혔습니다.

그러면서 “이는 북한 정부가 군사 능력 향상을 위해 여러 사이버 해킹 조직을 지정해 운용하고 있음을 시사한다”고 평가했습니다.

보고서는 또 북한이 암호화폐를 계속 탈취하고 있으며, 미국 기반 금융·기술 회사의 공급망을 공격하는 등 정권을 위해 더욱 정교한 수법으로 계속 사이버 공격을 감행하고 있다고 지적했습니다.

아울러 합법적인 오픈소스 소프트웨어를 악용해 악성코드를 광범위하게 유포하고 합법적 기관을 가장해 전문가 그룹에게 피싱 공격을 감행하는 등 피해자들을 대상으로 새로운 해킹 수법을 계속 개발하고 있다고 진단했습니다.

북러 간 군사적 밀착이 본격화되고 있는 가운데 북한이 우방국인 러시아의 민감한 군사 정보를 탈취하려 시도한 정황이 포착된 것은 올해 들어서만 이번이 두 번째입니다.

앞서 미국의 정보기술 보안업체 ‘센티넬원’은 지난 8월 북한 해킹조직이 러시아의 각종 미사일 개발을 주도하는 방산업체 ‘NPO 마쉬노스트로예니아’, 일명 ‘NPO 마쉬’를 해킹했다고 밝혔습니다.

센티넬원은 보고서에서 북한 정찰총국 소속 해킹조직 ‘라자루스와 ‘스카크러프트’가 지난 2021년 말부터 지난해 3월까지 최소 5개월 간 러시아 방산업체 NPO 마쉬의 해킹을 시도해 방화벽을 뚫는데 성공했으며, 이를 통해 대륙간탄도미사일(ICBM) 등에 사용되는 로켓 설계 관련 자료를 탈취했을 가능성을 제기한 바 있습니다.

이에 대해 전문가들은 우크라이나전에 쓸 탄약이 필요한 러시아가 북한에 도움을 요청한 상황에서 북한이 원하는 미사일 또는 위성 기술 협력을 약속했지만, 매우 핵심적인 기술까지 쉽게 내주지는 않을 것이라고 지적했습니다.

그러면서 북한으로서는 이에 대한 대비 차원에서 우방국도 가리지 않는 전방위적인 정보 탈취 해킹 공격을 수행하고 있는 것으로 분석했습니다.

[녹취: 슈무커 박사] “I think they don't receive so much. They get just samples to show this to the world and nothing more. It would be nonsense to give someone who is not reliable. If he is notable not a reliable ally why should you support him that he one time at some time in the future at some time in the future turn against you? So it is very unlikely that North Korea would follow only this path. So it's much more capable and easy to bring something in hacking from Russia.”

유엔 무기 사찰관과 독일 국방부 미사일 프로그램 고문을 지낸 로버트 슈무커 박사는 6일 VOA와의 전화통화에서 “북한은 러시아로부터 대외 협력 과시를 위한 ‘보여주기 용’ 샘플만 받고 핵심 미사일 기술은 받지 못할 것”이라고 말했습니다.

특히 러시아로서는 핵심 핵·미사일 기술을 완전히 신뢰할 수 없는 북한에 이전했다가 그것이 다시 자신들을 겨눌 지도 모른다는 불안감이 있을 것이라면서, “따라서 북한도 러시아의 지원만 믿고 있을 가능성은 매우 낮다”고 전망했습니다.

그러면서 북한으로서는 해킹을 통해 러시아에서 무언가를 가져오는 것이 훨씬 더 쉽다고 분석했습니다.

켄 고스 미 해군분석센터 적성국 분석 담당 국장

켄 고스 미 해군분석센터 적성국 분석 담당 국장도 북한이 가진 대부분의 무기 프로그램이 러시아의 영향을 받았기 때문에 자신들의 무기 체계 맞는 핵심 기술을 빼내기 위해서는 서방국보다 오히려 러시아가 더 적합할 수 있다고 말했습니다.

[녹취: 고스 국장] “They rely on Russian and Chinese. They may be looking for some additional technology to help enhance the capability of submarine. But submarine and satellite technology are highly sensitive areas that of defense matters and I'm not sure the Russians would be willing to part with that sort of technology. So the hacking might be able to provide them some additional information on that.”

특히 북한은 최근 잠수함 능력 향상과 위성 등 자신들의 능력 향상을 위한 몇 가지 추가 기술을 찾고 있을 것이라면서, 이와 같은 민감한 국방 분야에서 러시아가 기꺼이 기술을 내어줄 것으로 확신하기 어렵기 때문에 “해킹이 이에 대한 추가 정보를 제공할 수 있을 것”이라고 덧붙였습니다.

그러면서 북한이 핵과 미사일 능력을 강화하기 위한 지속적인 노력을 기울이고 있다는 점에서 우방국도 가리지 않는 북한의 전방위적인 해킹 공격은 북한이 이 같은 억지력 확보에 얼마나 공을 들이고 있는지를 보여주는 단적인 예라고 강조했습니다.

한편 북한은 ‘신종 코로나바이러스 감염증이 확산하는 동안 북한의 사이버 공격이 크게 늘었다’서 지적한 MS의 2021년 '디지털 방위 보고서'에 강력히 반발한 바 있습니다.

북한 외무성은 2021년 10월 28일 ‘과연 가해자와 피해자는 누구인가' 제목의 글에서 “미국이 저들의 정탐범죄 행위들은 어물쩍해놓고 아무러한 근거나 사실 자료도 없는 해킹 공격설을 계속 꾸며 여러 주권국에 대한 비난 공세에 열을 올리고 있다"고 주장했습니다.

VOA 뉴스 조상진입니다.**